"Log4j"-Schwachstelle (CVE-2021-44228, CVE-2021-45046): Information für Kunden

Am 11. Dezember hat das BSI eine Sicherheitswarnung zu einer kritischen Schwachstelle in der Java Logging-Bibliothek "Log4j" veröffentlicht. Wir haben das Problem im Blick – kurzes Statement für Kunden.

Die Warnung wurde mittlerweile auf die höchste Gefährdungsstufe gesetzt. Die Sicherheitswarnung enthält weitere Details zum Problem.

Wir haben die bei uns davon betroffenen Systeme inzwischen auf neue Softwarestände aktualisiert, mit denen das Problem gelöst ist. Die Aktualisierung erfolgte auf bekannte, saubere Systemzustände.

Anzeichen für ein tatsächliches Ausnutzen der Schwachstelle auf unseren Systemen liegen nicht vor. Allerdings hat unser Monitoring-System einige entsprechende "Scans" dokumentiert.

Sollten sich weitere für unsere Kunden relevante Informationen ergeben, werden wir diesen Blog-Eintrag aktualisieren.

Update 17.12.2021

Inzwischen ist eine weiteres Advisory unter der Nummer CVE-2021-45046 publiziert worden: Unter bestimmten Umständen und Konfigurationen waren die Korrekturen, die zur Beseitigung der 1. Schwachstelle veröffentlicht wurden, nicht ausreichend bzw. konnten erneut umgangen werden.

Unsere Systeme sind von dieser zweiten Lücke nicht betroffen.

Matthias Pigulla

Diplom-Wirtschaftsinformatiker, Geschäftsführer

Der strategische Kopf hinter unseren Softwaresystemen behält bei der Entwicklung und Betreuung komplexer Architekturen den Überblick, kümmert sich um die technische Infrastruktur oder berichtet über seine Erfahrungen und Erkenntnisse auf der Symfony User Group. Und wenn er abends damit fertig ist, entspannt der zweifache Vater entweder auf seiner Yogamatte oder lässt beim Fotografieren die Seele baumeln.

Wir freuen uns über Feedback und Diskussionen via @mpdude_de oder @webfactory!