Die Log4j-Sicherheitslücke hält das Internet und somit auch alle IT-Dienstleister auf Trab. Eine Software-Komponente, die in Java-Anwendungen häufig für die Verarbeitung von Log-Nachrichten verwendet wird, ermöglicht Angreifern auf betroffenen Systemen das Nachladen und Ausführen von Schadcode. Diese Lücke kann häufig auch über das Netzwerk ausgenutzt werden. Das BSI hat eine Pressemitteilung zu dieser Sicherheitslücke unter folgender Adresse veröffentlicht: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf

Nach Bekanntwerden am Freitag, den 10.12.2021, wurden sämtliche Systeme der GWDG auf Verwundbarkeit geprüft und entsprechende Gegenmaßnahmen eingeleitet. Systeme, auf denen aus technischen oder organisatorischen Gründen keine sofortigen Gegenmaßnahmen möglich waren, wurden vorsorglich abgeschaltet oder im Zugriff eingeschränkt. Trotz einer schnellen Reaktion und umfangreicher Analysen kann nicht ausgeschlossen werden, das einzelne Systeme noch betroffen sind oder bereits kompromittiert wurden. Unsere Untersuchungen dauern zur Zeit noch an.

Verantwortlichen Personen, die Dienste oder Software auf GWDG-Infrastruktur (z. B. vServern) betreiben, wird dringend angeraten, ihre Systeme ebenfalls auf diese Schwachstelle hin zu prüfen. Das BSI hat unter der oben verlinkten Pressemitteilung Handlungsempfehlungen veröffentlicht.