Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt aktuell vor einer kritischen Schwachstelle in dem Java-Module log4j. Dieses Modul wird von vielen Java-basierten Anwendungen oder Geräten verwendet. Auch viele Cloud-Dienste sind von der Sicherheitslücke betroffen. Weltweit versuchen die Hersteller seit dem vergangenen Wochenende herauszufinden, welche Produkte von der Lücke betroffen sind. Darunter sind oder waren auch namhafte Anbieter wie Amazon, Twitter, Ubiquiti, Apple iCloud, Twitter, …
Der Hersteller des Moduls, die Apache Software Foundation, hat bereits eine korrigierte Version 2.15 herausgegeben. Dies hilft aber zunächst nur den Entwicklern, da diese das neue Modul im nächsten Schritt in ihre Produkte einbinden müssen. In den meisten Fällen wird es dann ein Update für das eigentliche Produkt geben. Die Anwender sollten dieses Update sehr zeitnah installieren. Es gibt bereits die ersten Berichte, nachdem schon aktiv nach verwundbaren Geräten im Internet gesucht wird.
Zu Beachten ist auch, dass der Angriff auch von Innen stattfinden kann. Deshalb können auch Geräte betroffen sein, welche nicht direkt mit dem Internet verbunden sind.
Quellen/weitere Informationen
BSI Warnung
Liste von betroffenen Produkten/Diensten
Liste von betroffenen Produkten/Diensten und weitere Hinweise