Eine kritische Lücke in der Java-Bibliothek – genannt Log4j oder Log4Shell (CVE-2021-44228) – beherrscht seit letzten Freitag die Schlagzeilen. Verschiedene Behörden wie auch das NCSC schlugen Alarm, doch meist dauert es – wie auch in diesem Fall – ein paar Tage, bis Klarheit über das wahre Ausmass herrscht.
Was macht Log4Shell gefährlich?
Die Sicherheitslücke ist kritisch, da sie von einem Angreifer aus der Ferne und anonym bei einem Dienst ausgenutzt werden kann. Der Angreifer kann unter bestimmten Umständen einen beliebigen Schadcode hochladen und auszuführen. Im schlimmsten Fall könnte durch Manipulationen die Verwaltungsrechte eines Servers oder betroffenen Gerätes erlangt werden.
Die Schwere der Sicherheitslücke wird im Common Vulnerability Scoring System (CVSS) mit 10 (von 10) bewertet, was dem maximalen Schweregrad entspricht. Von der Sicherheitslücke betroffen sind Server und Netzwerkkomponenten, allerdings ist aber Java-Programmcode ist auch in Zugangssystemen wie digitalen Schliesssystemen, in Automatisierungstechnik und oftmals im Kleingeräten für Zuhause weit verbreitet. Ob auch diese Systeme durch die Lücke bedroht sind, ist noch zuwenig bekannt.
Für genauere Informationen finden sich bei NCSC weitere Informationen.
Log4Shell im Webhosting?
Automatisch entstand auch die Frage bei uns, inwiefern Systeme für Webhosting betroffen sind und wie dessen Auswirkungen sind. Spoiler: Nicht sehr gross!
- Controlpanel Plesk: Nicht betroffen.
- Apache Webserver: Nicht betroffen.
- Nginx Webserver: Nicht betroffen.
- Filedrive CE (Seafile-Community-Edition): Nicht betroffen.
- Filedrive Pro: (Filedrive-Pro): Ist von der Lücke betroffen, wenn auch nur mit moderatem Risiko. Unsere Installation wurde jedoch zeitnah bereits aktualisiert. (Security-Advisory)
- Domain-Controlpanel: Nicht betroffen.
- Webmail Roundcube: Nicht betroffen. (Knapp zuvor wurden mehrere andere kritische Lücken geschlossen.)
- Moodle: Nicht betroffen.
- Nextcloud: Nicht betroffen.
- WordPress: Nicht betroffen.
- Joomla: Nicht betroffen.