Was ist passiert?

Die Sicherheitslücke in Log4j 2, einer weit verbreiteten Java-Protokollierungsbibliothek, ermöglicht die Ausführung von Remote-Codes, weshalb die Wahrscheinlichkeit hoch ist, dass dieser Angriff zur Übernahme ganzer Systeme genutzt werden kann. Die Lücke wurde auch in Minecraft-Servern entdeckt, über die Befehle in Chat-Protokolle eingegeben werden konnten, die dann an den Logger gesendet wurden. Genau das macht diese Schwachstelle so kritisch, denn die Logging-Bibliothek ist so weit verbreitet, dass sie leicht ausgenutzt werden kann. Aus diesem Grund arbeiten viele Open-Source-Betreuer derzeit an Korrekturen und Updates für unser Software-Ökosystem.

Ist Password Safe betroffen?

Da Password Safe nicht mit Java arbeitet, ist unsere Software nicht von dieser Sicherheitslücke betroffen. Es müssen also keine weiteren Maßnahmen von unseren Kunden ergriffen werden, wenn sie unsere noch unterstützten Versionen (8.10 oder höher) verwenden.

Wir möchten an dieser Stelle anmerken, dass Password Safe noch eine weitere Bibliothek verwendet – Log4js – die für Log4 Java Script steht und nichts mit der Bibliothek Log4j – Log4 Java – zu tun hat. Log4js ist also nicht betroffen und somit nicht sicherheitskritisch.

Wenn eine Version unter 8.10 verwendet wird, empfehlen wir unseren Kunden dringend, so schnell wie möglich auf die neueste Version zu aktualisieren. Wir möchten auch darauf hinweisen, dass der Support für die Version 8.9 im November ausgelaufen ist. Nicht nur aus Gründen des Supports, sondern auch um immer auf dem aktuellen Stand der Sicherheit zu sein, ist ein Update auf die neueste Version dringend zu empfehlen.

Sicherheitsempfehlungen

Wenn Apache verwendet wird, sollten unsere Kunden beachten, dass dieser Server ebenfalls betroffen ist und das Problem bereits behoben wurde. Bitte also auch Apache aktualisieren, um sicher zu sein.

Zum Apache How-To

Auch wenn Password Safe nicht betroffen ist, sollten alle Systeme, die verwendet werden, überprüft werden. Generell empfehlen wir allen unseren Kunden, wenn möglich, eine verstärkte Protokollierung auf den Systemen einzurichten, die nicht anders oder vorübergehend deaktiviert werden können, um mögliche Angriffe zu registrieren.
https://logging.apache.org/log4j/2.x/security.html

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.