Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet für die erkannten Sicherheitslücke der Logging-Bibliothek Log4j eine „extrem kritische Bedrohungslage“. Das BSI legt für die Java-Bibliothek Log4j die höchste Warnstufe fest.
Es wird von Schwachstellen in den Versionen 2.0 bis 2.14.1 von log4j berichtet, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent die Felder in einer Webanwendung zu protokollieren. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Laut dem BSI sei es derzeit „nicht überschaubar“, für welche Produkte es bereits Updates gibt, und für welche nicht.
Derzeit beobachten wir zum Schutz unserer Kunden die Situation sowie die neusten Bekanntgaben der SAP intensiv – sobald weitere Informationen bekannt sind werden wir Sie informieren.
SAP Business One
Aktuell analysiert die SAP die verwendeten Komponenten noch. Sollte hier etwas betroffen sein, so wird es eine entsprechende Handlungsempfehlung geben.
Coresuite
Laut Coresystems ist Coresuite von der Sicherheitslücke nicht betroffen.
Wrede-Module
Die Wrede Standard AddOns sind ebenfalls nicht von der Sicherheitslücke betroffen.