BSI warnt vor Software: Java «Log4j» hat Sicherheitslücke
Nach Informationen des «Spiegel» hat auch die Bundesverwaltung eine Lücke. Das BSI warnt vor Software der Java-Programmiersprache. Updates sind empfohlen.
Das Wichtigste in Kürze
- Das BSI warnt vor der Java-Software «Log4j».
- Es gibt laut «Spiegel» erhebliche Sicherheitsprobleme.
- Es wird empfohlen, Kontrollen und Updates durchzuführen.
Es gibt eine schwerwiegende Schwachstelle in der Protokollierungsbibliothek «Log4j» der Programmiersprache Java. Nach Informationen des «Spiegel» sind auch mehrere Stellen in der Bundesverwaltung davon betroffen.
«Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung betroffen». Das hiess es dem Bericht zufolge aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Behörde seien einzelne verwundbare Systeme bekannt und es seien bereits entsprechende Schutzmassnahmen eingeleitet.
Bisher liegen demnach keinerlei Hinweise vor, dass die Schwachstelle in der Bundesverwaltung tatsächlich ausgenutzt worden sei. Zumindest in einigen Fällen sei das Problem nach Erkenntnissen des BSI bereits behoben worden.
Warnt vor Software: Sicherheitsstufe Rot
Das BSI hatte am Wochenende vor einer weit verbreiteten «kritischen Schwachstelle» gewarnt, die zahlreiche Server und Anwendungen verwundbar machen könnte. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche «eine vollständige Übernahme des betroffenen Systems». Das erklärte die Behörde und stufte ihre Cyber-Sicherheitswarnung auf die Warnstufe Rot hoch.
Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird, wie das Bundesamt ausführte. Es sei daher «oftmals tief in der Architektur von Software-Produkten verankert».
Das BSI riet insbesondere Unternehmen und Organisationen, Updates einzuspielen, sobald diese für einzelne Produkte verfügbar sind. Ausserdem sollten «alle Systeme, die verwundbar waren, auf eine Kompromittierung untersucht werden».