In Servern und Serverdiensten, die auf der Programmiersprache #JAVA basieren (nicht Javascript!), gibt es eine Bibliothek namens #LOG4J zum Protokollieren von Informationen. Manche Software-Produkte verwenden diese Bibliothek. Ist diese Bibliothek nicht auf dem neusten Stand von November 2021 (kleiner als Version 2.15), können Angreifer Kontrolle über den darunter liegenden Server erlangen. Betroffen sind somit Linux-, Unix- und Windows Server – sofern Sie einen JAVA-basierten Serverdienst mit der Bibliothek nutzen.
Handlungsbedarf:
- Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern).
- Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
- Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).
Wir arbeiten mit mit Hochdruck daran, alle Komponenten schnellstmöglich zu bewerten. Weitere Details, den Status zu von uns bewerteten Produkten und Verfahren, sowie den aktuellen Stand haben wir in unserem Sysko-Portal für Sie bereitgestellt: