Diese Webseite verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie unsere Seiten besuchen, stimmen Sie der Cookie-Nutzung zu:

Ich stimme zu.

Log4Shell

16.12.2021

Am Donnerstag (9. Dezember) wurde eine 0-Tage-Schwachstelle in der beliebten Java-Protokollierungsbibliothek log4j entdeckt, die durch das Protokollieren einer bestimmten Reihenfolge zu einer Remote-Code-Ausführung führt.

Log4Shell

Allgemeine Beschreibung der Sicherheitsanfälligkeit

Die Sicherheitslücke (CVE-2021-44228 1) ist kritisch, da sie von einem nicht authentifizierten Angreifer aus der Ferne zur Ausführung von beliebigem Code (Remote Code Execution - RCE) ausgenutzt werden kann. Die Sicherheitslücke wird im Common Vulnerability Scoring System (CVSS) mit 10 (von 10) bewertet, was den Schweregrad der Sicherheitslücke angibt.

Risiko-Klassifizierung: Hoch

Die Klassifizierung kann je nach Einsatzbereich variieren.

Von SPIE ergriffene Massnahmen

  • Überprüfung auf "Log4j"-Bedrohung bei allen unseren Managed Service-Kunden 
  • Kontinuierliche Überwachung der Kundenumgebungen
  • In Zusammenarbeit mit den Kunden werden bei Bedarf Abhilfemassnahmen geplant und eingeleitet

Allgemeine Handlungsempfehlungen für alle Kunden

  • Identifizieren Sie betroffene Systeme mit "Log4j" in Ihrer Umgebung.
    • Befolgen Sie die Ratschläge des Anbieters
    • Prüfen Sie einzelne Systeme
  • System offline auf Version Log4j 2.15.0 aktualisieren (bester Schutz)
  • Workaround: Der folgende Parameter sollte beim Starten der Java Virtual Machine auf true gesetzt werden: log4j2.formatMsgNoLookups

Weitere Informationen unter

GovCert Blog

Bei weiteren Fragen wenden Sie sich bitte an Ihren SPIE Service Ansprechpartner.

Mit freundlichen Grüssen
SPIE ICS AG

back to panels