Status Messages

When outages occur or if there is any planned maintenance, we keep you proactively informed here. We recommend you subscribe to our feed to stay up-to-date:

Tech Feed

Back to current status messages

Last updated: December 14, 2021 at 6:21 PM

Onlime nicht betroffen von Log4Shell

Type

Techinfo

Status

CLOSED

Timespan

Dec 14, 2021, 5:59 PM CET

Affected Services

-

Details

Die unter dem Namen Log4Shell in den letzten Tagen bekannt gewordene 0-Day Vulnerability in der Java-Komponente Log4j hat an vielen Orten für Aufregung gesorgt. Da sich auch einige bekümmerte Kunden bei uns gemeldet haben, möchten wir hier etwas verzögert doch noch eine offizielle Entwarnung durchgeben:

Nein, Onlime GmbH verwendet Log4j auf keinen Servern, weder in internen noch öffentlich verfügbaren Diensten. Wir und unsere Kunden sind folglich nicht von dieser Sicherheitslücke betroffen und waren es auch nie.

Java-Applikationen gehören grundsätzlich nicht ins Portfolio von Onlime und wir verwenden auch intern keine Java-basierten Tools.

Trotzdem, für die Interessierten unter euch, hier noch eine kurze Erklärung zu dieser Sicherheitslücke, welche unter CVE-2021-44228 veröffentlicht wurde:

Die von der Apache Software Foundation entwickelte Bibliothek Log4j dient dem Logging von Meldungen in Anwendungen, welche in Java programmiert sind. Im Zusammenspiel mit dem Java Naming and Directory Interface (JNDI) lässt sie sich allerdings dazu missbrauchen, auf einem Server nahezu beliebigen Code auszuführen. Angreifer müssen hierfür lediglich eine Zeichenkette übermitteln, welche dem Format ${jndi:ldap://[Adresse]/[Payload]} entspricht. Der Angriff kann somit etwa durch eine entsprechend konfigurierte Browserkennung initiiert werden, aber beispielsweise auch durch den böswillig definierten Namen eines Smarphones. Wegen der weltweiten Verbreitung von Log4j stellt die Sicherheitslücke eine große Gefahr dar. Sie ermöglicht unter anderem das Abgreifen von Login-Informationen, Ransomware-Angriffe und die Installation von Krypto-Minern auf den betroffenen Systemen.

Apache hat mittlerweile Version 2.16.0 von Log4j veröffentlicht, in dieser ist die Schwachstelle behoben. Angesichts der Vielzahl der Webseiten, Dienste und Anbieter, welche die Bibliothek einsetzen, kann es allerdings einige Zeit dauern, bis die Sicherheitslücke weltweit geschlossen ist. Da die Java-Komponente zudem in zahlreichen IoT-Geräten wie Video-Überwachungssystemen oder auch WLAN-Routern zu finden ist, dürfte die Gefahr noch länger bestehen. Viele derartige Devices erhalten erfahrungsgemäß nur sehr schleppend Updates, wenn überhaupt.