log4j

Sammlung an Ressourcen und Handlungsempfehlungen zu Sicherheitslücken in log4j

Anmerkung

Bitte rufen Sie regelmäßig selbständig diese Seite auf, um die neuesten Entwicklungen zu verfolgen. (Am besten über F5 / Seite neuladen, sonst bleibt veralteter Inhalt u.U. im Browser-Cache)

Ressourcen

Wir empfehlen, insbesondere die Checkliste vom KIT-CERT einmal für die eigens betriebenen IT-Systeme durchzugehen.

Listen der (nicht-)betroffenen Produkte:

Achtung: Diese Listen haben keinen Anspruch auf Vollständigkeit. Daher sollte eigene eingesetzte Software/Dienste auf die Verwendung von log4j hin überprüft werden.

CVEs

  • CVE-2021-45105
    • Anfälligkeit für DoS
    • Betroffen: log4j 2.0-alpha1 bis einschließlich 2.16.0
    • Mitigation: Update auf 2.17
  • CVE-2021-45046
    • Remote Code Execution möglich
    • Betroffen: log4j 2.15.0 (unvollständiger Fix)
    • Mitigation: Update auf 2.17
  • CVE-2021-4104
    • Betroffen: log4j 1.x mit aktiviertem JMS-Appender (entgegen der Standardkonfiguration)
    • Mitigation: Update auf 2.17, wenn 1.x verwendet werden muss auf Nicht-Verwendung von JMS-Appender prüfen
  • CVE-2021-44228
    • ursprüngliche Lücke in log4j
    • Betroffen: 2.0-beta9 - 2.12.1 - 2.13.0 - 2.15.0
    • Mitigation: Update auf 2.17

Rückfragen

Rückfragen bitte an security@luis.uni-hannover.de stellen.

KONTAKT

IT-Sicherheit
Sicherheitsteam
IT-Sicherheit
Sicherheitsteam