LUIS News
Kritische Schwachstelle in der Software "log4j"

Kritische Schwachstelle in der Software "log4j"

Server-Betreiber und Admins müssen handeln – [Update 21.12.2021, 15:10 Uhr]

[Update 21.12.2021, 15:10] log4j 2.17, Verweis auf Detailseite

Wir weisen auf die Veröffentlichung der neuen Version 2.17 der Bibliothek log4j hin. Diese Version behebt eine Schwachstelle, die für einen DoS-Angriff (CVE-2021-45105) ausgenutzt werden kann. Der CVSS-Score für diese Schwachstelle liegt bei 7.5. Alle Versionen < 2.17 sind (mit Stand vom 21.12.2021) von verschiedenen Schwachstellen betroffen. Es sollte daher auf die Version 2.17 aktualisiert werden.

Weitere Details und Handlungsempfehlungen entnehmen Sie bitte den gesammelten Ressourcen auf der Detailseite. Wir empfehlen, diese Seite regelmäßig selbstständig aufzurufen, um die neuesten Entwicklungen zu verfolgen.

Fragen richten Sie bitte an security@luis.uni-hannover.de

[Update 13.12.2021, 17:30] Verweis auf Unterseite mit aktuellen Informationen und Handlungsempfehlungen hinzugefügt.

Das LUIS bietet hier eine Sammlung an Ressourcen und Handlungsempfehlungen zur Sicherheitslücke in "log4j" an. Bitte rufen Sie regelmäßig selbstständig diese Seite auf, um die neuesten Entwicklungen zu verfolgen.

[Ursprüngliche Meldung vom 12.12.2021:]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am Freitag vor einer kritischen Schwachstelle in der Software "log4j". Mittlerweile hat das BSI die Bedrohungslage als "extrem kritisch" mit Warnstufe "Rot" eingestuft.

Die Schwachstelle betrifft eine Java-basierte Protokollierungs-Software für Dienste und Anwendungen. Es ist nicht auszuschließen, dass diesbezüglich anfällige Installationen im Netz der LUH betrieben werden. Server-Betreiber und Admins sind aufgefordert, betroffene Systeme unverzüglich zu patchen oder kurzfristig/vorübergehend vom Netz zu nehmen. 

Weitere Informationen:

BSI-Warnmeldung

Heise News

DER SPIEGEL