Es wurde aktuell eine Sicherheitslücke gefunden, mit der Angreifer nach erfolgreicher Ausnutzung die Möglichkeit haben, auf dem Zielsystem einen eigenen Programmcode auszuführen und so den Server zu kapern.
Die konkrete Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer definierte Zeichenkette zu protokollieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 11.12.2021 die Bedrohungslage nachträglich hochgestuft.
Es gilt nun die höchste Warnstufe Rot.
Wichtig: Für alle TDT-Geräte und TDT-Services ist diese Sicherheitslücke nicht relevant; ein Hotfix ist aus unserer Sicht daher nicht notwendig.
Weitere Informationen:
- https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html
- https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html