Die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nachträglich auf die höchste Warnstufe Rot hochgestuft. Die Schwachstelle könne ohne explizites Nachladen von Schadcode ausgenutzt werden, womit ein Großteil der zuvor empfohlenen Gegenmaßnahmen ins Leere läuft.

In der Abfrage könne maliziöser Code direkt enthalten sein, sodass auch Grundschutz-konforme Systeme gefährdet seien, welche keine Verbindung ins Internet aufbauen können. Das BSI empfiehlt als akute Maßnahmen, nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen. Auf Systemen, die notwendig für Geschäftsprozesse sind und nicht abgeschaltet werden können, solle zudem ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden. Damit soll im Nachgang leichter überprüft werden können, ob ein System kompromittiert wurde.

Zur Zeit ist nicht absehbar, wie viele Internetdienste auch von namhaften Firmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt, da sich die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen befindet.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE