Sicherheitslücke | Java Log4j aka Log4Shell

Aktuelle News vom BSI finden Sie hier

Erklärung

Am 9. Dezember 2021 wurde eine schwere Remote Code Execution Schwachstelle in Apaches Log4J festgestellt. Bei Log4J handelt es sich um ein weit verbreitetes Logging System, das von Entwicklern für Web- und Serverapplikationen, die auf Java und anderen Programmiersprachen basieren, genutzt wird. Die Schwachstelle betrifft einen großen Teil von Services und Applikationen auf Servern, wodurch sie extrem gefährlich ist und die neuesten Patches für diese Applikationen dringend benötigt werden. Sophos konnte auf breiter Fläche feststellen, das Angreifer versuchen die Schwachstelle auszunutzen.

Die Schwachstelle macht es jedem Angreifer, der in der Lage ist Text in die Log-Nachrichten, oder Log-Nachrichten-Parameter in die Server-Logs zu injizieren, möglich Code von einem entfernten Server nachzuladen. Der angegriffene Server führt diesen Code anschließend über Calls zum Java Naming and Directory Interface (JNDI) aus. JNDI interagiert mit einer Vielzahl an Netzwerkdiensten, inklusive Lightweight Directory Access Protocol (LDAP), Domain Name Service (DNS), Javas Remote Interface (RMI) und dem Common Object Request Broker (COBRA). Sophos konnte feststellen, dass LDAP, DNS und RMI Ziele von Angriffen waren, bei denen eine URL die auf diese Dienste getaggt war an einen externen Server weitergeleitet werden.

Patches für Log4j

Es existieren zwar Möglichkeiten mit denen Kunden die Schwachstelle eingrenzen können, die beste Lösung des Problems ist allerdings ein Upgrade auf die gepatchte Version, die mit log4j 2.15.0 bereits von Apache bereitgestellt worden ist.

Ein weiterer Log4j Bug, CVE-2021-45046, zwang Apache dazu ein weiteres Update für Log4j bereitzustellen, von 2.15.0 zu 2.16.0. Glücklicherweise erlaubt dieser Bug weder Remote Code Execution, noch das Abfliessen von Daten. Der Bug ermöglicht allerdings eine Denial-of-Service-Attacke, die zum festhängen der Prozesse führen kann.

Unglücklicherweise wirken die Möglichkeiten zur Schwachstellen-Eingrenzung für 2.15.0 (eine spezielle Option per Kommandozeile, oder über eine Umgebungsvariable setzen) nicht gegen CVE-2021-45046. Um sich gegen CVE-2021-45046 zu schützen, müssen Sie zwingend auf Log4j Version 2.16.0 patchen.

Sophos empfiehlt, sofern Sie mit dem Patchen bereits begonnen haben, alle noch ungepatchten Maschinen auf Version 2.16.0 zu updaten, bevor Sie die Maschinen mit 2.15.0 updaten. Dadurch stellen Sie sicher, dass die minimale Version 2.15.0 ist und Sie vor dem kritischen CVE-2021-44228 geschützt sind.

Welche unserer Partner-Produkte sind betroffen?

HP Inc.

MyQ

Kofax

Sophos

Pascom

Microsoft

HP Inc.

Wir haben hier alle Informationen von unserem Partner HP Inc. zusammengefasst.

Produkt	Betroffen	Status	Lösungsansatz
Drucker / Multifunktionsgeräte	JA – betroffen	wenn Firmwarestand < FutureSmart 5.3.0	Firmwareupdate auf mind. FS 5.3.0

Weitere Informationen finden Sie direkt in den HP Security Bulletins

Update: 17.12.2021

Email seitens HP Partner Manager

HP-Produkte, die nicht von der Log4j-Schwachstelle betroffen sind:

HP Enterprise LaserJet und Managed LaserJet Drucker und MFPs mit FutureSmart Version 3/4/5

HP Enterprise PageWide und Managed PageWide Drucker und MFPs mit FutureSmart Version 3/4/5

HP Pro PageWide und Managed PageWide Drucker und MFPs

HP Pro LaserJet und Managed LaserJet Drucker und MFPs

HP Digital Sender mit FutureSmart Firmware 3/4/5

HP ScanJets mit FutureSmart Firmware 3/4/5

HP LaserJet Drucker und MFPs mit OZ-basierter Firmware (keine Chai-Applets)

HP DesignJet Produkte

HP PageWide XL Produkte

HP Latex Produkte

HP Stitch Produkte

HP DeskJet Drucker

HP OfficeJet Drucker

HP Smart Tank Drucker

HP Neverstop Laserdrucker

HP LaserJet und Laserdrucker

HP Workpath

HP Jetdirect Zubehördrucker

Drucker der Marke Samsung

HP Capture und Route

HP Zutrittskontrolle

HP Advance Produkte

HP Web Jetadmin Software

HP Security Manager-Software

HP Command Center (HPCC Solution Store)

HP entwickelte Workpath-Anwendungen

HP Software für digitales Senden

HP Roam

HP Universal-Druckertreiber

HP Print und Scan Doctor

HP Smart

MyQ

Wir haben hier alle Informationen von unserem Partner MyQ Solutions zusammengefasst.

Produkt	Betroffen	Status	Lösungsansatz
MyQ X	nein – nicht betroffen	Entwicklung ohne JAVA	nicht benötigt
MyQ Roger	nein – nicht betroffen	Entwicklung ohne JAVA	nicht benötigt

Weitere Informationen finden Sie direkt in den HP Security Bulletins

Kofax

Wir haben hier alle Informationen von unserem Partner Kofax zusammengefasst.

Produkt	Betroffen	Status	Lösungsansatz
SafeCom	nein – nicht betroffen	–	nicht benötigt
Control Suite	JA – betroffen	Entwicklung ohne JAVA	Update einspielen

Weitere Informationen finden Sie direkt in den HP Security Bulletins

Sophos

Wir haben hier alle Informationen von unserem Partner Sophos zusammengefasst.

Produkt	Betroffen	Status	Lösungsansatz
Sophos Central	nein – nicht betroffen	Sophos Central nutzt keine ausnutzbare Konfiguration	nicht benötigt
Sophos Firewall (alle Versionen)	nein – nicht betroffen	Sophos Firewall nutzt Log4j nicht.	nicht benötigt
SG UTM (alle Versionen)	nein – nicht betroffen	Sophos SG UTM nutzt Log4j nicht.	nicht benötigt
Sophos RED	nein – nicht betroffen	Sophos RED nutzt Log4j nicht.	nicht benötigt
Sophos Firewall Clients	nein – nicht betroffen	Sophos Firewall Clients nutzen Log4j nicht. – Sophos Connect Client – Sophos SSL VPN Client – Sophos Transparent Authentication Suite (STAS) – Sophos Authentication for Thin Client (SATC) (EOL) – Client Authentication Agent (all Versions)	nicht benötigt

Weitere Informationen finden Sie direkt in dem passenden Sophos Security Advisorie

Pascom

Produkt	Betroffen	Status	Lösungsansatz
Pascom Cloud	nein – nicht betroffen	–	–

Microsoft

Wir haben hier alle Informationen von unserem Partner Microsoft zusammengefasst.

Produkt	Betroffen	Status	Lösungsansatz
alle Microsoft Produkte	kann aktuell nicht bestätigt werden	–	halten Sie ihre Microsoft Software aktuell

Privacy Overview

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern, während Sie durch die Website navigieren. Aus diesen werden die als notwendig kategorisierten Cookies in Ihrem Browser gespeichert, da sie für das Funktionieren der grundlegenden Funktionalitäten der Website unerlässlich sind. Wir verwenden auch Cookies von Drittanbietern, die uns helfen, diese Website zu analysieren und zu verstehen. Diese Cookies werden nur mit Ihrer Zustimmung in Ihrem Browser gespeichert. Sie haben auch die Möglichkeit, diese Cookies abzubestellen. Das Abbestellen einiger dieser Cookies kann sich jedoch auf Ihr Surferlebnis auswirken.

Notwendig

immer aktiv

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Dauer	Beschreibung
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Performance

Analytics

Others