Vor ab:

Wir nutzt keine Libraries die von der Schwachstelle betroffen sind, auch nicht unsere Manged-Prozesse.
Falls Kunden spezielle java-Applikation nutzen sollte, sollten diese nach Updates prüfen.

Wir konnten jedoch auch keine aktiven Prozesse dafür feststellen, demnach sind auch keine möglichen Angriffspunkte vorhanden.

Hier die Sicherheitswarnung:

Zur derzeitigen kritischen Bedrohung durch die Sicherheitslücke „Log4shell“ ist eine ernstzunehmende Bedrohung für Webseiten, Programme und Geräte, da die betroffene Programmiersprache Java weltweit verbreitet ist. Nehmen Sie dringend Verbindung zu Ihren IT-verantwortlichen externen/internen Stellen auf, um die Funktionalität Ihrer Systeme zu gewährleisten!

Information speziell für IT-Dienstleister:

Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up auf einen von den Angreifer:innen kontrollierten Server ausgelöst und der zurückgelieferte Code ausgeführt. Entsprechender PoC-Exploit-Code wurde bereits auf GitHub veröffentlicht (siehe dazu auch die Cert.at-Informationsseite; für registrierte GitHub-Portal-User). Diese Bedrohung ist definitiv ernst zu nehmen!



Friday, December 17, 2021





« 返回