Sicherheitslücke bei Log4j entdeckt

Am Freitag, den 10.12.2021, wurde eine Sicherheitslücke bei Log4j, ein weltweit verwendetes Framework zum Logging in Java, veröffentlicht. Die IT-Sicherheitsbehörde (BSI) hat eine Cyber-Sicherheitswarnung der Alarmstufe Rot herausgegeben. Diese Sicherheitslücke ermöglicht es Hackern ohne großen Aufwand beliebigen Schadcode auszuführen. 

Was ist Log4j?

Log4j ist eine weltweit verbreitete Bibliothek für Anwendungen, die mit der Programmiersprache Java geschrieben wurden. Sie hilft Entwicklern, Fehlermeldungen in Softwareprozessen aufzuzeichnen und kommt auf Servern weltweit zum Einsatz. Log4j dient dazu, Fehlermeldungen über sogenannte Logger an das gewählte Logging-System weiterzuleiten.

Warum ist die Log4j Sicherheitslücke so gefährlich?

Eine Sicherheitslücke im Programmcode, die in der Nacht von Donnerstag auf Freitag, den 10.12.2021 veröffentlicht wurde, gefährdet die IT-Sicherheit vieler Unternehmen. Die Sicherheitslücke im betroffenen Logging-Framework, welches auch Log4Shell genannt wird, ermöglicht es Hackern in Rechensysteme von Unternehmen, die Java verwenden einzudringen. Hackern ist es so möglich beliebigen Schadcode in den betroffenen Systemen auszuführen und diese erheblich zu kompromittieren.

Was kann dagegen getan werden?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits am Wochenende einerseits das IT-Krisenaktionszentrum aktiviert und eine besondere Aufbauorganisation (BAO) geschaffen, die die Lage intensiv analysiert hat. Das Na­tio­na­le Cy­ber-Abwehr­zentrum (Cyber-AZ) wurde ebenfalls über die Lage in Kenntnis gesetzt. Es wurden bereits mehrere Sammel-Threads mit Listen der betroffenen Softwares & Dienstleistern erstellt und passende Sicherheitspatches und Statements verlinkt – wie zum Beispiel auf GitHub.

Das BSI hat entsprechende Sicherheitswarnungen und Aufrufe an Unternehmen herausgegeben, sofort Maßnahmen zu ergreifen, sofern diese umsetzbar sind. Systeme, bei denen die Log4j Sicherheitslücke nicht unmittelbar geschlossen werden kann, sollten abgeschaltet oder isoliert werden. Informieren Sie sich also umgehend über ein Sicherheitsupdate.

Lassen Sie Ihren Online-Shop jetzt prüfen!

Als erfahrene Shop-Agentur analysieren wir Ihr System und schließen umgehend mögliche Sicherheitslücken.

Ist Ihr Shop von dieser Sicherheitslücke betroffen?

Magento

Das Shopsystem Magento ist nicht direkt von der Sicherheitslücke betroffen, da hier nicht auf in Java geschriebene Software oder Code zurückgegriffen wird. Wenn in Ihrem Shop jedoch Software wie SOLR oder ElasticSearch zum Einsatz kommt, sollten Sie sich unmittelbar mit Ihrem Dienstleister oder Ihrer Internetagentur in Verbindung setzen, falls Sie von diesen noch keine Info erhalten haben. Seit der Magento Version 2.4 wird ElasticSearch vorausgesetzt und ist auf dem Server installiert. In diesem Fall sollten Sie ElasticSearch schnellstmöglich auf die entsprechenden von ElasticSearch bereitgestellten Sicherheitspatches updaten.

Shopware

Als PHP-basiertes System ist Ihr Shopware-Shop von der Sicherheitslücke bei Log4j grundsätzlich nicht betroffen. Allerdings gibt es auch hier die Ausnahme: Wenn Sie ElasticSearch 5 in Ihrem Shop installiert haben, sollten Sie schnellstmöglich ein Sicherheitsupdate durchführen. ElasticSearch 5 ist jedoch nur für die Shopware Versionen vor 5.6 kompatibel. Ist Ihre Version neuer oder haben Sie sogar einen Shopware 6 Shop, sind Sie also nicht betroffen.

Fazit

Diese Sicherheitslücke sollten sie keinesfalls unbeachtet lassen. Sie sind sich nicht sicher, ob Sie betroffen sind? Dann sprechen Sie mit einem erfahrenen Partner. Als Agentur für Webentwicklung prüfen wir gerne Ihren Shop auf die Sicherheitslücke Log4j und beheben mögliche Risiken.

0 Kommentare

Beitrag kommentieren

Wir freuen uns auf Ihr Feedback!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diesen Beitrag bewerten