Das Bundesamt für Sicherheit in der Informationstechnik (BSI) machte eine gravierende Sicherheitslücke in log4j bekannt. Die daraus resultierende Bedrohungslage stufte sie am 11.12.2021 in die höchstmöglichen Kategorie „rot“ ein: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html
Was genau ist passiert?
Log4j ist eine sogenannte Softwarebibliothek, die von vielen Softwareentwicklern eingesetzt wird. Ein Sicherheitsforscher hat nun herausgefunden, dass diese Bibliothek eine Schwachstelle enthält. Bei der Verarbeitung eines speziell formulierten Log-Eintrages können Befehle direkt auf dem betroffenen Server ausgeführt werden. Dies ist dramatisch, da eine Vielzahl über das Internet erreichbarer Dienste diese Bibliothek nutzen. Betroffen sind z. B. Apple, Amazon, Tesla und tausende andere Firmen.
Unsere hauseigenen Produkte und Dienste sind sicher!
In unseren Software-Lösungen WS LANDCAD und IRIS 3 wird die Log4j-Bibliothek nicht verwendet! WS LANDCAD und IRIS sind daher nicht gefährdet!
Nach Bekanntmachung der obigen Informationen durch das BSI haben wir auch unsere eigene IT-Infrastruktur zusätzlich gezielt auf log4j überprüft. Unsere Systeme sind entsprechend den Herstellervorgaben so konfiguriert, dass ein Ausnutzen der Sicherheitslücke nach derzeitigem Informationsstand nicht möglich ist.
Sind Software-Produkte wie AutoCAD und BricsCAD bzgl. Log4j sicher?
- AutoCAD-Produktfamilie: Hier die entsprechenden Informationen von Autodesk
- BricsCAD: Hier die entsprechenden Informationen von Bricsys
- SketchUp: Hier das Statement des SketchUp Teams in der SketchUp Community
- Moskito-Produkte: Hier die entsprechenden Informationen von Moskito
Aktualisierter Informationsstand 12.01.2022