News Detail

Log4j - Kritische Sicherheitslücke

Wie bekannt wurde und auch bereits in den einschlägigen Medien kommuniziert wurde, besteht derzeit eine kritische Sicherheitslücke in Log4j, einer beliebten Protokollierungsbibliothek für Java-Anwendungen.

Entgegen erster Annahmen bezieht sich die Unsicherheit nicht nur auf die Versionen 2.0 bis 2.15 von log4j, sondern auch auf die Versionen 1.x, wo allerdings ein etwas eingeschränktes Risiko gegeben ist.

Wir bitten Sie, ihre Anwendungen auf die Verwendung von log4j zu überprüfen und gegebenenfalls bereits verfügbare Patches und/oder aktualisierte Softwareversionen einzuspielen.

Wo solche nicht verfügbar sind, empfehlen wir, die Verfügbarkeit von außen wenn möglich temporär zu unterbinden. Es gibt mittlerweile eine Vielzahl von Seiten mit hilfreichen Informationen, wie festgestellt werden kann, ob ihre Server und Anwendungen betroffen sind, und wie Abhilfe geschaffen werden kann. 

Wir verweisen hier auf die ständig aktualisierten deutschsprachigen Seiten 

auf weiterführende englischsprachige Seiten z.B.

Wir haben am Montag begonnen, alle Systeme, die von der TU.it betrieben werden, auf Unsicherheiten zu überprüfen und diese abzusichern, dieser Prozess ist nahezu abgeschlossen. Wir halten Sie am laufenden über den Absicherungsstatus.
Als weiteren Schritt haben wir schon bei Bekanntwerden der Vulnerability Maßnahmen an der Perimeter-Firewall getroffen,
diese Angriffsversuche zu unterbinden soweit wir sie filtern können.

Bei weiteren Fragen wenden Sie sich bitte an: security@tuwien.ac.at