Informationen zur Sicherheitslücke in der Java-Bibliothek log4j „Log4Shell“

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 13. Dezember 2021 eine Cybersicherheitswarnung der Warnstufe Rot veröffentlicht. Vergleichbare Veröffentlichungen gab es auch in anderen Ländern, z.B. in der National Vulnerability Database des NIST in den USA (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) oder von der EU (https://www.enisa.europa.eu/news/statement-on-log4shell).

Grund für diese Warnung der höchsten Alarmstufe ist eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek log4j, die nach Ansicht der Sicherheitsbehörden zu einer äußerst kritischen Bedrohungslage führt. Die Schwachstelle ermöglicht es Angreifern unter Umständen, eigenen Programmcode auf dem Zielsystem auszuführen und so den Server zu kompromittieren (Quelle: BSI).

Diese HORIZONT-Produkte sind nicht betroffen:

  • IWS/Audit
  • IWS/BatchAD
  • IWS/BatchCP
  • IWS/Graph (Server und PC-Client)
  • IWS/WebAdmin für z/OS
  • IWS/WebAdmin
  • SmartJCL (Basis, Änderung, Schnittstelle für IWS z/OS und Control-M)
  • XINFO (Anwendungsserver, ISPF-Dialog, Scanner)
  • ProcMan

Einige Komponenten der HORIZONT Produkte verwenden log4j, sind aber von dieser Schwachstelle nicht betroffen.

  • XINFO Eclipse-Plugin
  • SmartJCL Eclipse-Plugin

XINFO Eclipse Plugin und SmartJCL Eclipse Plugin verwenden log4j Version 1.2.17. Diese Version ist nicht von der Sicherheitslücke CVE-2021-44228 betroffen. Die JMSAppender-Klasse wird nicht verwendet, die eine ähnliche Sicherheitslücke für log4j 1.x (CVE-2021-4104) ermöglichen könnte.

Das XINFO Eclipse-Plugin bietet ein externes Tool login.jar und login.exe. Dieses Tool verwendet log4j Version 2.10.0.

Dieses externe Tool kann verwendet werden, um verschlüsselte Anmeldedaten zu speichern. Die Login-Provider-Erweiterung im Plugin kann dann diese Login-Daten entschlüsseln. Der Login-Provider verwendet ebenfalls das log4j aus dem Plugin (1.2.17) und login.jar wird nirgends im Plugin verwendet.

Ein Risiko für das Login-Tool sehen wir nicht, da es nur lokal und temporär ausgeführt wird.
Falls Sie weitere Fragen haben, wenden Sie sich bitte an support@horizont-it.com.