Seit ein paar Tagen gehen die Nachrichten zur Log4j-Schwachstelle [Links nur für registrierte Nutzer], wie auch in dem hier verlinkten Artikel der Zeit-Online.
Das Problem ist deshalb so kritisch, weil Java fast überall verwendet wird, besonders bei den Web Application Servern, d.h. der Basis für sehr viele Web Applikationen. Dazu kommt noch, dass Log4j relativ tief im "Stack", also der Infrastruktur, dieser Java-Umgebungen sitzt, und dementsprechend auch häufig verwendet wird.
Und wie der Artikel ebenso korrekt darstellt:iner der Gründe für die aktuelle Aufregung ist, dass die Bibliothek Log4j in so vielen Onlineanwendungen steckt. Noch immer ist es nicht möglich, abschließend zu beurteilen, welche Unternehmen, Behörden und Dienste von der Lücke betroffen sind. Listen mit bestätigten Fällen sind lang und prominent besetzt: von der Gamingplattform Steam über IBM, Google, Tesla und Twitter bis hin zu Amazons Serverdienst AWS, VMware, Cloudflare und vielen anderen Anwendungen.
Man kann dies u.U. nicht durch ein einfaches Update beheben, sondern muss die ganze Entwicklungsumgebung neu aufsetzen, damit der Rest der Softwarebibliotheken mit dem Log4j Update kompatibel sind. Wenn man sich ansieht, wie schnell es bei der STRUTS-Schwachstelle ging, kann dies bei einigen Firmen Jahre dauern.in Problem ist aber, dass das oft nicht ausreicht: Mitunter müssen alle Produkte, die Log4j verwenden, einzeln angepasst werden, um die Lücke zu schließen. Das ist kompliziert und dauert.
Hier liegt der Artikel aber m.E. falsch:
Beim IoT bin ich damit nicht so sicher, d.h. die heimische Alarmanlage, der Smart-Speaker und ähnliche Geräte könnten davon durchaus betroffen sein.Um direkt betroffen zu sein, müsste eine Anwendung auf dem eigenen Rechner laufen, die Aktivität mit Log4j protokolliert und über das Internet erreichbar sein. "Ein Heimanwender hat üblicherweise keinen solchen Zugang nach außen hin", sagt Hahn von G-Data.