Ein gefährliche Schwachstelle in einer Java-Bibliothek wurde in der Nacht zum Montag vom Bundesamt für Sicherheit in der Informationstechnik mit der Alarmstufe rot versehen. Diese Bibliothek wird auch in unseren Softwareprodukten IMA, IBePro, IBS und INEX verwendet. Nach heutiger Prüfung können wir Entwarnung geben.
Bei der Java-Bibliothek mit dem Namen Log4J handelt sich um eine von der Apache-Foundation verwaltete Komponente zum Aufzeichnen auf sogenannten Log-Einträgen. Log-Einträgen werden dazu verwendet, um Softwareentwicklern und Betreibern von IT-Systemen wichtige Informationen zu aktuellen Vorgängen in Softwareprodukten anzuzeigen. Mit solchen Log-Einträgen kann das korrekte Verhalten einer Software kontrolliert werden.
Betroffen ist die aktuelle Version der Log4J-Bibliothek mit der Version 2. Wird diese Bibliothek auf einem Server genutzt, kann ein Angreifer durch das Senden einer speziellen Zeichenkette beliebige Fremdsoftware auf dem Server ausführen. Gerne werden solche Schwachstelle dazu genutzt, um entfernte Server für eigene Dienste zu nutzen, zum Beispiel das unerlaubte Versenden von Spam-Mails oder, um von diesen Servern aus andere Server anzugreifen. Die Entwickler dieser Komponente haben bereits reagiert und es stehen verschiedene Lösungen bereit.
Wir haben unsere Softwareprodukte überprüft und können Entwarnung geben. Wir verwenden noch eine ältere Version der Log4J-Bibliothek. Diese Version ist von dem aktuellen Problem nicht betroffen. Unabhängig davon ist es aber angebracht, den eigenen Computer auf das Vorhandensein dieser Bibliothek zu überprüfen, da Log4J in sehr vielen Softwareprodukten enthalten ist. Wenn die Datei gefunden wird, dann muss diese nicht gelöscht werden. Es sollte sich dann beim jeweiligen Softwareanbieter informiert werden, ob ein Problem vorliegt.