Log4J: Massive Sicherheitslücke erschüttert das Netz
Eine gravierende Zero-Day-Lücke in Log4J macht derzeit praktisch das ganze Internet angreifbar. Eine Version mit Fix ist bereits verfügbar.
Das Wichtigste in Kürze
- Im Apache-Logging-Werkzeug Log4J wurde eine massive Sicherheitslücke entdeckt.
- Das Leck macht u. a. Dienste bei Amazon, Apple iCloud, Steam oder Twitter angreifbar.
- Feststellt wurde dieser Zero-Day-Exploit neulich dank der Minecraft-Community.
Das beliebte Logging-Werkzeug Log4J sorgt in der Technik-Industrie momentan für heftige Schlagzeilen. Kürzlich wurde entdeckt, dass eine Sicherheitslücke im Tool aktuelle Versionen von Minecraft zum leichten Ziel für Hacker macht. Nun ist jedoch klar, dass dieses Leck auch zahlreiche namhafte Unternehmen wie Amazon, Apple oder Twitter betrifft.
Leck in Log4J bereits gestopft
Über eine Lücke im Quellcode war es Angreifern ein Leichtes, eigenen Code einzuspielen und die Kontrolle zu übernehmen. Der Zero-Day-Exploit wurde bereits mit der CVE-Nummer «CVA-2021-44228» registriert und als «kritisch» eingestuft.
Auch das CERT der Deutschen Telekom beobachtet die Situation aktuell und konnte bereits erste Angriffe bestätigen. Log4J ist in den Versionen 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen. Wie bei «Heise» erläutert wird, ist die Version2.15 mit gefixtem Quellcode bereits veröffentlicht. Es wird dringlichst zum Update geraten.