Schwachstelle in einer Java-Komponente namens Log4j

Hallo,
in der Presse habe ich erfahren, daß die Sicherheitsbehörde BSI Alarmstufe Rot ausgerufen hat und rät dringend zu Updates.
Wie gesagt, betrifft es die Java-Komponente namens Log4j.
Ich habe in meiner Software nachgeschaut und habe diese Variante gefunden unter aur, ist bei mir
jedoch nicht installiert. Aber es ist “log4cplus” installiert, das von der Beschreibung her nicht weit weg ist von log4j.
Was heißt das jetzt für Linux-Benutzer? Müssen wir uns Sorgen machen?
Natürlich sind in erster Linie Unternehmen und Behörden gefährdet, aber diese, wie BSI sagt,
extrem kritische Bedrohungslage kann irgendwann auch den Endbenutzer treffen.

Hallo Rudi,

Ich versuch mal das einzuordnen, bin aber kein Java-Entwickler und wenn ich hier Müll verzapfe: Bitte korrigiert mich!

Vorab: log4j ist ein Java Framework und wird genutzt, wie der Name es schon andeutet, um Statusinformationen aller Art in Log-Dateien abzulegen. Ein Entwickler muss also das Rad nicht wieder neu Erfinden, sondern kann log4j in seinen Anwendungen einbinden und dann auf dessen Funktionen zugreifen.

Nun ist log4j aber nicht nur in der Lage, einfach wie HeinBlöd eine Zeichenkette in eine Datei zu schreiben, sondern es bietet u.a. auch Steuerungsmöglichkeiten, ala “wenn diese $Zeichenkette erkannt wird, dann mach dies oder jenes” - und genau das ist der Krux: log4j macht das dann. Und dieses “dann machen” kann aber auch Böses sein wie “Lade diese Malware aus dem Internet”. Dennoch: Das ist kein Bug, das ist ein Feature… Das Problem wird ernst, wenn Systeme die log4j nutzen, relativ ungesichert im Netz herumstehen und dann noch mit erhöhten Rechten arbeiten (was häufiger vorkommt als man glauben mag).

Und das ist das, was bei log4j so gefährlich ist: Dienste, die extern erreichbar sein müssen (Web-Server et al), loggen wie “die Wilde 13”. Wenn dann also ein entsprechender Aufruf an diesen Server gesandt wird, wird mitprotokolliert von log4j und dann ist der Hase beim Pfeffer im Brunnenwasser zu finden.

Sorgen sind dahingehend zu machen: Auch wenn das BSI für Privatanwender zurückrudert, ist die Gefahr dennoch existent: Gefühlt jeder Dienst, der über einen Browser oder ähnliches mit einem Host kommuniziert, kann betroffen sein. Im Geschäftsumfeld ist das so ziemlich jeder Drucker der ein Webfrontend hat, ein NAS, Web-Server sowieso, können aber auch andere Java-Anwendungen sein wie Druck-Zugriffskontrollen oder Datenbank-Fontend oder weiss der Geier… Privat kann der Internet-Router betroffen, der Drucker der über IPP ebenfalls Druckaufträge annehmmen kann oder irgendein Webfrontend aus der Heimautomatisierung.

Was hilft ist: Prüfe Deine Geräte auf Updates. Eigentlich wie immer: Alles, was mit einem Bein im Netz steht: Updates prüfen! Das Smartphones von betroffen sind, ist mir nicht zu Ohren gekommen. Unter dem iPhone sowieso nicht, da Java dort was Böses ist, und unter Android hab ich noch nix mitbekommen (hab jetzt aber auch nicht stundenlang recherchiert).

Die von Dir angesprochene “log4cplus” macht wahrscheinlich exakt das gleich wie log4j, ist hier aber nicht von angesprochen. Sie liefert eine Logging-Klasse für C++ Entwickler, inspiriert von log4j, aber ob sie die gleichen Features liefert, weiss ich gar nicht. Ich denke, da brauchst Du Dir im Moment keinen Kopf machen.

Ich hoffe, ich konnte Dir mit dieser Ausführung etwas helfen.

1 Like

This topic was automatically closed 2 days after the last reply. New replies are no longer allowed.