No Java - No Cry!

Hinter der unscheinbaren Bezeichnung CVE-2021-442281 versteckt sich eine schwerwiegende Schwachstelle in der Java-Komponente Log4J2. Der Fehler besteht darin, dass diese Logdaten nicht nur liest oder schreibt sondern auch interpretiert und Anweisungen zum Nachladen von Programmcode ausführt. So wird aus einer Logzeile ein Programm, das im Kontext der jeweiligen Software, des Dienstes oder Anwenders ausgeführt wird. Pauschal kann davon ausgegangen werden, dass in JAVA programmierte Software und alles mit einem Tomcat-Webserver von der Log4J-Schwachstelle betroffen ist. Die Liste der Softwareprodukte ist lang und beinhaltet das Who-is-Who der IT-Branche3. Das BSI ruft gleich Alarmstufe rot aus4 und sogar der Spiegel schreibt von “Scheiße”, die lichterloh brennen würde5. Read more