Kritische Sicherheitslücke in der Java-Bibliothek log4j. - Microsoft-Anwender

Wichtige Information für Microsoft-Anwender

Eine Sicherheitslücke (#log4shell) ist aufgetaucht, die beim BSI (dem Bundesamt für Sicherheit in der Informationstechnologie) in die Kategorie „rot“ eingruppiert wurde (CVE-2021-44228).

Diese kritische Schwachstelle hat möglicherweise Auswirkungen auf alle Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren. Insbesondere bei direkt oder indirekt aus dem Internet erreichbaren Anwendungen ist diese Sicherheitslücke als extrem kritisch anzusehen.

Aufgrund der weiten Verbreitung der Bibliothek ist es aber nur schwer absehbar, welche Produkte betroffen sind. Microsoft gab dazu in einer ersten Antwort eine Einschätzung zu der Sicherheitslücke und listet diverse Maßnahmen zur Erkennung und Eindämmung:


Aus der Sicht von MODUS Consult sind Microsoft Dynamics 365 Anwendungen (inkl. Dynamics NAV / Dynamics BC, auch wenn sie den WebClient nutzen) sowie Ihre Microsoft 365 Umgebung nicht betroffen, auch nicht die Portale, die Sie zur Kommunikation mit dem MODUS Consult Help Desk nutzen.

Von der Sicherheitslücke betroffen ist der Mendelson AS2 EDI-Adapter, der in einigen YAVEON ProE-SCM-Installationen zum Einsatz kommt. Kunden, die diesen im Einsatz haben, wurden separat informiert.

Ebenso sind die Anwendungen QlikSense und QlikView unseres Partners Qlik nicht betroffen (siehe Link).

Für ELO-Anwender gibt es hier eine eigene Information auf unserer Webseite.

Eine stets aktualisierte, aber dennoch unvollständige Übersicht der betroffenen Systeme findet man z.B. hier:
BlueTeam CheatSheet * Log4Shell* | · GitHub

Gerne verweisen wir auch auf den Blog-Beitrag unseres Bechtle-Kollegen aus der IT-Security:
Kritische Sicherheitslücke in Log4j – So handeln Sie richtig (bechtle.com)