Cloudogu Logo

Hallo, wir sind Cloudogu!

Experten für Software-Lifecycle-Management und Prozess­auto­mati­sierung, Förderer von Open-Source-Soft­ware und Entwickler des Cloudogu EcoSystem.

featured image Log4j, Log4Shell, LogJam – Alles was Sie wissen müssen
14.12.2021 in Technology

Log4j, Log4Shell, LogJam – Alles was Sie wissen müssen


Daniel Huchthausen
Daniel Huchthausen

- IT Consultant -


Kürzlich wurde die Log4Shell oder LogJam genannte Sicherheitslücke in der Apache Log4j Bibliothek entdeckt und die Neuigkeit hat es nicht zu Unrecht in die Mainstream-Nachrichten geschafft. Da Millionen von Systemen betroffen sind und Angreifer diese Sicherheitslücke bereits aktiv ausnutzen, müssen betroffene Systeme umgehend abgesichert werden. Wir haben hier alle wichtigen Informationen dazu.

Was ist Log4Shell oder LogJam?

Bei der Sicherheitslücke Log4Shell handelt es sich um eine sogenannte „Zero Day“-Verwundbarkeit der Bibliothek Log4j, welche in Millionen von Java-Anwendungen verwendet wird. Zero Day bedeutet, dass diese Sicherheitslücke in allen Versionen der Bibliothek, seit der ersten Veröffentlichung, enthalten ist. Bei Log4Shell handelt es sich um eine sogenannte „Remote Code Execution“-Verwundbarkeit (RCE), die es Angreifern ermöglicht Code auf betroffenen Systemen auszuführen und so potenziell Kontrolle über das System zu erlangen. Die betroffene Bibliothek Log4j wird zum Schreiben von System-Logs genutzt und kann zum Beispiel die Fehlermeldungen einer Anwendung dokumentieren. Um die Sicherheitslücke auszunutzen, müssen Angreifer das System lediglich dazu bringen einen Eintrag in das Log zu schreiben. Anschließend können sie jeden beliebigen Code auf dem System ausführen. Diese Sicherheitslücke ist also nicht nur gefährlich, weil sie in sehr vielen Anwendungen verwendet wird, sondern auch weil sie sehr einfach auszunutzen ist.

Log4Shell und das Cloudogu EcoSystem

Auf dem Cloudogu EcoSystem können eine Vielzahl von Anwendungen betrieben werden. Einige dieser Anwendungen sind auch durch Log4Shell angreifbar. Die gute Nachricht ist aber, dass es für die angreifbaren Tools bereits neue Versionen gibt, in denen die Sicherheitslücke geschlossen ist. Alles was Sie tun müssen, ist also die betroffenen Dogus zu aktualisieren. Details dazu und eine aktuelle Liste der betroffenen Dogus finden Sie in diesem Beitrag in unserem Forum.

Log4Shell und SCM-Manager

Da weder das Tool SCM-Manager noch die offiziellen Plugins die Bibliothek Log4j benutzen, gibt es hier auch keine Verwundbarkeit. Wenn Sie jedoch Plugins von externen Quellen benutzen, also Plugins die nicht über das Plugin-Center des Tools installiert wurden, können wir nicht ausschließen, dass in diesen Log4j benutzt wird. Sollten Sie externe Plugins nutzen, finden Sie anbei eine Anleitung, wie Sie Ihre Installation von SCM-Manager prüfen können: Zum Blogbeitrag.

Log4Shell und andere Anwendungen

Neben unserem Cloudogu EcoSystem und dem SCM-Manager verwenden natürlich noch sehr viele andere Anwendungen die betroffene Bibliothek Log4j. Auch von Ihnen selbst geschriebene Anwendungen können betroffen sein. Um zu prüfen, ob Ihre Anwendungen durch Log4Shell verwundbar sind, gibt es unter anderem diese Möglichkeiten:

  • Unser Partner Snyk bietet IDE-Erweiterungen, die den Code auf Verwundbarkeiten überprüfen und Lösungsanweisungen geben. Mehr dazu finden Sie in diesem Blogbeitrag von Snyk.
  • Mit Nexus Lifecycle bietet unser Partner Sonatype ein Tool an, welches die komplette Supply-Chain Ihrer Software überwacht und Sicherheitslücken identifiziert. Mehr über das Tool können Sie auf dessen Produktseite erfahren. Nexus Lifecycle ist auch als Dogu im Cloudogu EcoSystem verfügbar.

Aktuelle Diskussion

Kommentare zu diesem Thema auf myCloudogu