Beim Framework log4j Version 2 wurde im Dezember eine Sicherheitslücke bekannt. Diese kann unter anderem ausgenutzt werden, um auf dem Hostsystem Code auszuführen, zum Beispiel um Krypto-Mining zu betreiben. Das BSI hat dazu einen Roten Alarm zu bestimmten Paketen herausgegeben. Ein Problem dabei ist: Dieses Paket wird nicht bei betroffenen Linux-Distributionen als einzelne Datei geführt. Es ist auch oft nur Bestandteil der Installation von Programmen (Linux, Windows) und damit abhängig von Software-Aktualisierungen. Wie ist da also vorzugehen?
Effektiv müssen wir uns auf die Aussagen von Herstellern und Cloudprovidern verlassen. Dazu haben wir ein paar Punkte gesammelt, die Ihnen bei der Bewertung der Lage hilfreich zur Seite stehen können. Es ist sicherlich nur ein kleiner Ausschnitt unserer begrenzten Welt, gibt aber einen Blick auf uns, die Hersteller und Produkte. Weiterlesen