Log4Shell: BSI vergibt höchste Warnstufe für Log4J-Lücke

Wohl wegen der sehr großen Tragweite der Log4J-Lücke (CVE-2021-44228) warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen mit der höchsten Warnstufe „4/Rot“ vor der Log4J-Lücke. Weiter heißt es: „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar.“ Das BSI warnt außerdem eindrücklich davor, dass die Lücke bereits aktiv ausgenutzt werde, etwa für Kryptominer oder andere Schadsoftware.

Anders als bisher angenommen gilt inzwischen auch die Version 1 von Log4J unter bestimmten Umständen als verwundbar für den Angriff, nicht nur Version 2. Die Version 1 wird jedoch seit einigen Jahren nicht mehr offiziell gepflegt und ist End-of-Life (EOL).

Tragweite immer noch nicht absehbar

Das Unternehmen Cloudflare und andere vergleichen die Log4J-Lücke, die mittlerweile auch als Log4Shell bezeichnet wird, mit Heartbleed oder Shellshock. Immerhin ist möglicherweise ein Großteil der Server im Internet betroffen. Das BSI schreibt dazu: „Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren.“

Betroffen ist auch das besondere elektronische Anwaltspostfach (BeA). Dieses ist derzeit nicht verfügbar, wie die Betreiber mitteilen. Auch darin kommt Log4J zum Einsatz. Dazu heißt es: „Die Schwachstelle kann durch Anpassung einer Konfiguration behoben werden. Wir sind aktuell dabei, diese für alle BeA-Komponenten möglichst schnell durchzuführen.“ Das betrifft auch den Client, der mit Version 3.9.0.7 bereits ein Update für die Lücke enthält.

Quelle: Log4Shell: BSI vergibt höchste Warnstufe für Log4J-Lücke – Golem.de