Am 10. Dezember 2021 entdeckten Sicherheitsforscher eine Zero-Day-Sicherheitslücke in Java-Protokollierungsbibliotheken, die Millionen von Cloud- und Unternehmensanwendungen betreffen kann. Veröffentlicht als CVE-2021-44228und unter den Bezeichnungen Log4Shell und LogJam. Diese Sicherheitslücke betrifft weit mehr als nur Minecraft, sie erstreckt sich auch auf Cloud-Dienste von Apple iCloud bis Twitter und darüber hinaus.
Das BigID-Team reagierte sofort und arbeitet seit gestern daran, unsere Kunden vor den Auswirkungen des Exploits zu schützen. Alle BigID-Cloud-Dienste (einschließlich BigID Cloud, SmallID, BigID.me und Privacy Portal) sind derzeit mit aktualisierten Sicherheitskonfigurationen geschützt, um weiterhin vor der Sicherheitslücke zu schützen.
Die Identifizierung von Risiken und die Gewährleistung des Schutzes unserer Kunden haben für uns Priorität. Wir arbeiten weiterhin direkt mit unseren Kunden zusammen, um ihnen Beratung und Unterstützung beim Schutz ihrer lokalen Implementierungen zu bieten.
Was ist Log4j?
Log4j ist ein Open-Source Apache Protokollierungssystem-Framework, das von Entwicklern zur Aufzeichnung innerhalb einer Anwendung verwendet wird. Log4j ist eine Java-Bibliothek, die in Unternehmenssoftware und Cloud-Anwendungen weit verbreitet ist, darunter Amazon, Apple iCloud, Tesla, Twitter, RedHat, Micecraft und mehr.
CVE-2021-44228 ist eine Sicherheitslücke in der Apache-Software, über die Angreifer schädlichen Code senden können, der ihnen möglicherweise die Kontrolle über den Server verschaffen kann.
Log4Shell oder LogJam sind verwandte Exploits. Die Sicherheitslücke ermöglicht es einem Angreifer, gezielt eine Zeichenfolge zu senden, die von Log4j protokolliert werden soll. Diese kann dann dazu verwendet werden, einen Server aus der Ferne zu übernehmen.
Wir werden die Entwicklung weiterhin beobachten und Sie über alle Änderungen auf dem Laufenden halten.