Am 10.12.2021 ist eine sehr schwerwiegende Zero-Day-Sicherheitslücke mit dem Namen Log4Shell in der Java Bibliothek Log4j bekannt geworden. Die Sicherheitslücke ist deswegen so schwerwiegend weil sie sehr leicht auszunutzen ist und darüber beliebiger Code ausgeführt werden kann. Weiterhin ist die Log4j Bibliothek extrem weit verbreitet.
Weitere Informationen zu der Lücke finden sich z.B. beim BSI und bei Heise:
https://www.bsi.bund.de/DE/Themen/U...fszielen/Webanwendungen/log4j/log4j_node.html
https://www.heise.de/news/Kritische...hrdet-zahlreiche-Server-und-Apps-6291653.html
Advisory:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Synology hat mitgeteilt, dass Synology Produkte von dieser Lücke nicht betroffen sind.
https://www.synology.com/en-global/security/advisory/Synology_SA_21_30
Eine abschließende Liste, welche Geräte betroffen sind, gibt es nicht. Es gibt eine inoffizielle Liste eines Sicherheitsforschers, die eine erste Vorstellung gibt, was alles betroffen ist.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Es ist eine der schwersten Sicherheitslücken, die es je gab! Das BSI bewertet die Bedrohungslage mit rot, was nicht sehr häufig vorkommt.
Weitere Informationen zu der Lücke finden sich z.B. beim BSI und bei Heise:
https://www.bsi.bund.de/DE/Themen/U...fszielen/Webanwendungen/log4j/log4j_node.html
https://www.heise.de/news/Kritische...hrdet-zahlreiche-Server-und-Apps-6291653.html
Advisory:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Synology hat mitgeteilt, dass Synology Produkte von dieser Lücke nicht betroffen sind.
https://www.synology.com/en-global/security/advisory/Synology_SA_21_30
Da die Sicherheitslücke so weitreichend ist solltet ihr unbedingt eure komplette IT prüfen, ob andere Systeme betroffen sind.
Eine abschließende Liste, welche Geräte betroffen sind, gibt es nicht. Es gibt eine inoffizielle Liste eines Sicherheitsforschers, die eine erste Vorstellung gibt, was alles betroffen ist.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592