Log4j ist momentan in aller Munde und nahezu jeder Systemadministrator fürchtet um die Sicherheit seiner Daten und Hardware. Täglich gibt es neue Berichte und Meldungen zum Thema Log4j, von denen die meisten mehr als beunruhigend klingen.
Deshalb freut es uns bei prodyTel sehr, Ihnen eine positive und beruhigende Mitteilung machen zu können:
Diese Herstellerpartner haben uns bestätigt, dass Sie von dem Log4j-Problem nicht betroffen sind, da sie diese Library nicht verwenden.
Biamp nutzt überhaupt kein Java.
Sollten Sie sich noch nicht mit Log4j auseinander gesetzt haben, folgt hier eine kurze Beschreibung:
Beschreibung
Im Logging-Framework Log4j der Apache Software Foundation wurde eine kritische Schwachstelle gefunden.
Angreifer können durch Einspielung einer Zeichenkette in die Logs eine Anfrage an einen von ihnen kontrollierten Server auslösen.
Von diesem Server zurückgelieferter Code wird auf dem betroffenen System ausgeführt.
Auswirkungen
Ein erfolgreiches Ausnutzen der Schwachstelle erlaubt es Angreifern beliebigen Code auf betroffenen Systemen auszuführen.
Wer ist betroffen?
Betroffen sind alle Versionen von Log4j von 2.0-beta9 bis 2.14.1 und potentiell alle Frameworks, die diese Versionen einsetzen.
Mitigation
Update von Log4j auf die Version 2.15.0-rc2
Achtung: Die Version 2.15.0-rc1 behebt die Schwachstelle wohl nicht vollständig
Quelle: Log4j – Apache Log4j Security Vulnerabilities
Interessierte Kollegen aus der Medientechnik können beim Tech-Support von prodyTel (Tel: 0911 98818950) nach einer „Grundlagen Tech Note“ zum Thema Netzwerk-Sicherheit bei BIAMP anfragen.
Zum Schluß noch eine kleine Anmerkung:
Java (um das es bei der Log4j-Problematik geht) und JavaScript sind zwei völlig unterschiedliche Dinge. Die größten Unterschiede bestehen in den Einsatzbereichen. Java wird zur Entwicklung eigenständiger Anwendungen und höherer Betriebssystem-Komponenten verwendet, während JavaScript hauptsächlich als Skriptsprache in Webbrowsern zu finden ist.
