13.12.2021

Aktuelle Warnung des BSI mit dem Titel "Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)":

[Warnung des BSI]

Die Protokollierungsbibliothek log4j wird in vielen Java-Anwendungen verwendet. Hierzu zählen auch im Internet/Intranet exponierte Web-Server wie z.B. der Tomcat-Dienst, der auch von KISTERS Software verwendet wird. Da die Lücke großflächig im Internet ausgenutzt werden kann und dies offenbar bereits stattfindet, hat das BSI nun die die Einstufung "4 / Rot Die IT-Bedrohungslage ist extrem kritisch" vorgenommen.

Wir empfehlen daher unseren Kund:innen, dass sie kurzfristig die Sicherheitseinstellungen ihrer Web-Server prüfen und insbesondere die erste vom BSI empfohlene Maßnahme umsetzen:
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind. Andere Zugriffe sollten durch entsprechende Kontrollinstanzen wie Paketfilter und Application Layer Gateways unterbunden werden. [BSI2021b].
Für unsere Kund:innen, die die KISTERScloud nutzen, wurde diese Maßnahme von uns umgesetzt.

Unsere Entwicklungsteams untersuchen derzeit, welche Software-Lösungen konkret betroffen sein könnten, und welche zusätzlichen Maßnahmen gegebenenfalls zur Verminderung eines Risikos der Ausnutzung der Schwachstelle getroffen werden können.