Log4Shell – Was ist das?

In letzter Zeit häuft sich der Begriff “Log4j” oder “Log4Shell” vermehrt, doch viele wissen noch gar nicht, was es damit auf sich hat. Hintergrund ist, dass unzählige Geräte die Programmiersprache Java verwenden. Java war vor allem zu Beginn der 2000er Jahre sehr beliebt und wurde für alle möglichen Anwendungen, wie z.B. Webserver und Datenbanken genutzt. In vielen Programmiersprachen kann auf Codes (auch Pakete genannt) zurückgriffen werden, die von anderen Leuten geschrieben wurden. Möchte man ein neues Programm entwickeln, muss so der vollständige Code nicht erst selbst geschrieben werden.

Seit letztem Freitag (10.12.2021) ist bekannt, dass das Java-Package Log4j eine kritische Sicherheitslücke hat. Diese Lücke ermöglicht es Angreifern einen beliebigen Code auszuführen. Dieser Fehler nennt sich Log4Shell bzw. CVE-2021-44228.

Log4j ist ein Paket, welches eine Log-Funktion erfüllt. Das bedeutet, dass dieser Code in einer Datei dokumentiert, was gerade passiert. Zusätzlich enthält dieses Paket eine weitere Funktion, wodurch Programmiercodes anderer Server geladen und ausgeführt werden können. Wird eine bestimmte Zeichenkette geloggt, wird ein Code von einem anderen Server geladen. Hacker können z.B. mit so einer Zeichenkette gezielt Codes auf Programmen, welche den Log4j-Code nutzen, ausführen und sich somit Zugriff auf beliebige Daten innerhalb des Systems verschaffen.

Insbesondere größere Unternehmen, welche mit IT-Systemen arbeiten, sollten prüfen, ob das Sicherheitsleck vorhanden ist. Viele Hersteller sind bereits daran eine Lösung für dieses Problem zu finden bzw. haben sie es auch z.T. schon lösen können. Wir haben unsere Anwendungen auf das oben beschriebene Problem gecheckt und fassen für Sie zusammen:

DocuWare hat sich bereits in einem Mailing an seine Kunden gewandt und den Sachverhalt in einer Stellungnahme beschrieben. Bislang heißt es, dass ein Großteil der DocuWare Produkte gar kein Java verwenden und somit auch nicht betroffen sind. Einige wenige Produkte verwenden aber Log4j und sind nicht oder nun nicht mehr betroffen. Zur Stellungnahme von DocuWare.

Auch der Hersteller Sage hat aufgelistet, welche Produkte das Log4j-Paket verwenden:

• Sage X3
• Sage CRM
• d.velop (S100 DMS)

Die restlichen Sage-Programme sind von dem Sicherheitsleck nicht betroffen. Es wird bereits an einem Fix für die betroffenen Produkte gearbeitet. Hier geht’s zur Detailansicht der einzelnen Sage Produkte (Auszug aus der Sage Wissensdatenbank: Eintrag 211124).