Kritische Sicherheitslücke in der Java-Bibliothek log4j. - Microsoft-Anwender
Wichtige Information für Microsoft-Anwender
Eine Sicherheitslücke (#log4shell) ist aufgetaucht, die beim BSI (dem Bundesamt für Sicherheit in der Informationstechnologie) in die Kategorie „rot“ eingruppiert wurde (CVE-2021-44228).
Diese kritische Schwachstelle hat möglicherweise Auswirkungen auf alle Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren. Insbesondere bei direkt oder indirekt aus dem Internet erreichbaren Anwendungen ist diese Sicherheitslücke als extrem kritisch anzusehen.
Aufgrund der weiten Verbreitung der Bibliothek ist es aber nur schwer absehbar, welche Produkte betroffen sind. Microsoft gab dazu in einer ersten Antwort eine Einschätzung zu der Sicherheitslücke und listet diverse Maßnahmen zur Erkennung und Eindämmung:
- Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 – Microsoft Security Response Center
- Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation - Microsoft Security Blog
Aus der Sicht von MODUS Consult sind Microsoft Dynamics 365 Anwendungen (inkl. Dynamics NAV / Dynamics BC, auch wenn sie den WebClient nutzen) sowie Ihre Microsoft 365 Umgebung nicht betroffen, auch nicht die Portale, die Sie zur Kommunikation mit dem MODUS Consult Help Desk nutzen.
Von der Sicherheitslücke betroffen ist der Mendelson AS2 EDI-Adapter, der in einigen YAVEON ProE-SCM-Installationen zum Einsatz kommt. Kunden, die diesen im Einsatz haben, wurden separat informiert.
Ebenso sind die Anwendungen QlikSense und QlikView unseres Partners Qlik nicht betroffen (siehe Link).
Für ELO-Anwender gibt es hier eine eigene Information auf unserer Webseite.
Eine stets aktualisierte, aber dennoch unvollständige Übersicht der betroffenen Systeme findet man z.B. hier:
BlueTeam CheatSheet * Log4Shell* | · GitHub
Gerne verweisen wir auch auf den Blog-Beitrag unseres Bechtle-Kollegen aus der IT-Security:
Kritische Sicherheitslücke in Log4j – So handeln Sie richtig (bechtle.com)