Update: Entwarnung: Saxess-Software nicht von kritischer Java-Schwachstelle betroffen

Lesezeit: ca. 5 Minuten

Saxess nicht von kritischer Java Schnittstelle betroffen

Update: Sicherheitstipps lesen Sie am Ende des Artikels

BSI ruft höchste Warnstufe aus

Update: Entwarnung: Saxess-Software nicht von kritischer Java-Schwachstelle betroffen

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) meldet am 11. Dezember eine extrem kritische Sicherheitslücke (Log4Shell) in der Java-Bibliothek Log4j.

Da weltweit Millionen Onlineanwendungen und Apps betroffen sind, stuft das BSI die Bedrohungslage auf der CVSS-Skala mit 10 ein – dem höchstmöglichen Wert.

Log4Shell wird als zero-day Schwachstelle bezeichnet, das heißt, dass Hacker bereits vor Experten von ihr Kenntnis hatten. Es kann daher davon ausgegangen werden, dass dadurch bereits immenser Schaden angerichtet wurde. Bis die Lücke komplett geschlossen ist, werden wahrscheinlich Jahre vergehen, wie Google meldet.

Was Log4Shell so gefährlich macht, ist die Verbreitung von Log4j und die Einfachheit des Exploits. Log4j ist eine Bibliothek die Anwendungsmeldungen in Java loggt. Durch die Sicherheitslücke kann ein Angreifer via Textnachrichten die Kontrolle über einen Computer übernehmen oder Daten stehlen, wenn dieser online ist eine bestimmte Version von Log4j verwendet. Der Rechner könnte ebenfalls angewiesen werden, bestimmten Schadcode herunterzuladen und zu installieren. Da das schon längst passiert sein könnte, sind die Langzeitfolgen kaum abzuschätzen.

Nach aktuellem Kenntnisstand sind SXIntegrator und Pentaho Data Integration nicht betroffen. Auch CP gibt Entwarnung.

Nach unseren aktuellen Recherchen ist der Programmcode von SXIntegrator sowie des darin verwendeten ETL-Werkzeugs Pentaho Data Integration nicht von dem Problem betroffen. Wir verwenden eine andere Version der Log4j-Bibliothek, die nur bei Nutzung einer bestimmten Java-Klasse risikobehaftet ist. Diese Klasse wird jedoch in unserem Code nicht eingesetzt.

„Die aktuelle Corporate Planner Version (ab 6.0.100) nutzt kein Java. In den Vorversionen besteht zwar eine Abhängigkeit zur Java-Technologie, die Bibliothek Log4j wird jedoch nicht eingesetzt“, meldet Corporate Planning.

Bundesministerium spricht Sicherheitsempfehlungen aus

Das BSI empfiehlt, „nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen.“ Weiterhin sollte auf Systemen, die nicht abgeschaltet werden können, „ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachgang leichter herausfinden zu können, ob ein System kompromittiert wurde“, wie Heise berichtet.

Sollten Sie befürchten, im privaten Bereich betroffen zu sein (manche Smart Home Endgeräte wurden als potenzielle Ziele ausgemacht), empfehlen wir Ihnen, die Homepages der Hersteller der potenziell gefährdeten Geräte aufzurufen und nach Software-Updates zu suchen.

Wir halten Sie auf dem Laufenden

Wir von Saxess bleiben an dem Thema dran und informieren Sie, sollte sich doch weiterer Handlungsbedarf erbeben.

Für weitere Fragen schreiben Sie uns über unser Kontaktformular.

Update: Sicherheitstipps

Befolgen Sie unsere Tipps, um die Sicherheit im Umgang mit Log4J zu erhöhen:

1. OCT und Pentaho DI Carte Userrechte

  • Beide Services sollten standardmäßig als Non-Admin-User ausgeführt werden
  • Pentaho DI Carte ist in der Regel nur bei Vorsystemanbindung von nicht-MSSQL-Systeme betroffen, wie z.B. Datev, SAP und ERP-Systemen auf Oracle Basis

2. Firewall-Settings

  • Um die Sicherheit zu erhöhen, können Sie den Zugriff in der Windows-Firewall auf den Service Pentaho DI Carte über Port 8085 auf 127.0.0.1 – „localhost“ beschränken

3. Umbenennen von .jar-Dateien

Uns haben mehrere Anfragen erreicht, ob .jar-Dateien umbenannt oder in aktuelleren Versionen platziert werden können. Das ist leider nicht möglich.

Allerdings ist die von Pentaho verwendete – und somit von unseren Schnittstellen genutzte – Log4J-Version auch nicht von der Sicherheitslücke betroffen. Lediglich beim Einsatz der Java Klasse JMSAppender ist die verwendete Version von Log4J anfällig. Jedoch wird diese Klasse in Pentaho nicht verwendet.

Weiterführende Informationen finden Sie in diesem Beitrag von Pentaho.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert