1. Alarmstufe Rot: Extrem kritische Bedrohungslage durch Log4Shell
Die kritische Schwachstelle Log4Shell in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Die Bibliothek Log4j stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Das BSI stuft die Sicherheitslücke Log4j in der höchsten Warnstufe Rot ein. Der Grund für die Warnung: Die Schwachstelle betrifft sehr viele Anwendungen, lässt sich leicht ausnutzen und hat möglicherweise schwere Folgen.
Meldungen über erste erfolgreiche Angriffe liegen bereits vor. Welche Produkte insgesamt angegriffen werden können, ist derzeit nicht vollständig überschaubar. Es gibt bereits Sicherheitsupdates der Java-Bibliothek, allerdings müssen alle betroffenen Produkte ebenfalls ein Update erhalten.
Wichtig: Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.
BSI-Warnung vor der Schwachstelle Log4Shell: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
Zur laufend aktualisierten Übersichtsseite des BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html
Aktuelle Liste mit betroffenen Anwendungen: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Was Verbraucherinnen und Verbraucher tun können: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html