Sicherheitslücke "Log4Shell"
RZL Programme nicht betroffen!
Wie Sie den Medien sicher schon entnommen haben, ist in den letzten Tagen eine neue Sicherheitslücke mit dem Namen Log4Shell (CVE-2021-44228) bekannt geworden, die auf Grund der extrem hohen Verbreitung der betroffen Softwarekomponente log4j eines der größten Sicherheitsprobleme der letzten Jahre darstellt.
Die Komponente log4J ist eine Java-Komponente, die in einer Vielzahl von Softwareprodukten verwendet wird, um Vorgänge zu protokollieren, damit diese auch zu einem späteren Zeitpunkt noch nachvollzogen werden können (z.B. zur Fehlersuche, oder zum Nachweis einer Änderung).
Da die RZL Programme keine einzige Java-Komponente (somit auch kein log4j) einsetzen, können wir zumindest hinsichtlich der RZL-Programme Entwarnung geben. Wir möchten aber trotzdem darauf hinweisen, dass wir stattdessen eine Microsoft .NET Framework Portierung dieser Komponente namens Log4Net einsetzen. Derzeit gibt es aber KEINE Hinweise, dass auch diese Variante ein ähnliches Problem aufweisen würde. Die betroffene Schnittstelle JNDI (Java Naming And Directory Interface) ist im Microsoft .NET Framework nicht verfügbar und kann somit von Log4Net nicht verwendet werden. Wir werden aber natürlich die Entwicklungen in diesem Bereich weiterhin intensiv beobachten und informieren Sie umgehend, falls sich auch hier ein Sicherheitsproblem ergeben würde.
Obwohl die RZL Programme nicht betroffen sind, raten wir Ihnen, unbedingt Ihren IT-Betreuer zu kontaktieren, damit dieser die von Sicherheitsexperten empfohlenen Maßnahmen zur Problembehebung durchführt. Es könnten ja andere Software-Produkte Ihres Unternehmens von dieser Sicherheitslücke betroffen sein.
