Seit ein paar Tagen ist eine schwerwiegende Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j bekannt und versetzt IT-Fachleute in Alarmbereitschaft. Nach Einschätzungen des
BSI (Bundesamt für Sicherheit in der Informationstechnik) führt die Schwachstelle zu einer „extrem kritischen Bedrohungslage“.
Log4j ist eine sehr beliebte Open-Source-Java-Logging-Bibliothek, die von fast allen großen Java-basierten Unternehmensanwendungen und -diensten verwendet wird.
Gefahren durch die Log4j-Sicherheitslücke
Die Log4j-Sicherheitslücke, genannt Log4Shell (Kennung CVE-2021-44228) ist für Kriminelle leicht auszunutzen. Log4Shell ist eine kritische Schwachstelle, die eine unbefugte Remotecodeausführung ermöglicht. Das bedeutet, dass Angreifer damit beliebigen Code auf jedem anfälligen Server ausführen können. Die allgegenwärtige Präsenz der Bibliothek hat unzählige Anwendungen – und die Unternehmen, die darauf angewiesen sind – einem erheblichen Risiko ausgesetzt.
Was IT-Abteilungen tun können
Das BSI empfiehlt hier unter anderem:
- eine Bestandsaufnahme durchzuführen, welche Systeme Log4j nutzen
- die Abschaltung nicht zwingend benötigter verwundbarer Systeme
- ein Update von Log4j auf die aktuelle Version durchzuführen bzw. Einstellungen zu ändern, wo ein Update nicht ohne Weiteres möglich ist,
- und für den Fall der Fälle: "die Protokollierung aller eingehenden und ausgehenden Verbindungen, um im Nachgang eine Kompromittierung leichter feststellen zu können".
Handlungsempfehlungen für Nutzer von NovaStor DataCenter
NovaStor hat mit Bekanntwerden der Log4j-Sicherheitslücke umgehend reagiert und die NovaStor DataCenter-Versionen 8 und 9 gefixt, auch wenn die Bedrohung für NovaStor gering ist, insbesondere, weil ein Angriff detaillierte Kenntnisse über das Produkt, Systeme und Serverstrukturen erfordern würde.
NovaStor DataCenter könnte in der Version 8 bis zur Version 8.2.14 von der Sicherheitslücke im Log4j betroffen sein. Die als kritisch eingestufte Lücke im Logging Modul (CVE-2021-44228) wurde aber direkt geschlossen.
Die Fehlerhebung befindet sich in der aktuellen Version 8.2.15, welche zum Download bereitsteht: https://de.novastor.com/install-datacenter-legacy
Wenn Sie die Version 8.2 nutzen, reicht es aus, ausschließlich den Commandserver zu aktualisieren. Wichtig: Vor dem Update stellen Sie sicher, dass keine Prozesse aktiv sind. Das Monitoring des NovaStor DataCenter GUI muss leer sein, das heißt, während des Updates dürfen keine Sicherungen/Retentions usw. aktiv sein!
Die NovaStor DataCenter Version 9 könnte bis zur Version 9.0.15 von der Sicherheitslücke im Log4j betroffen sein. Die als kritisch eingestufte Lücke im Logging Modul (CVE-2021-44228) wurde aber direkt geschlossen.
Die Fehlerbehebung befindet sich in der aktuellen Version 9.0.16, welche zum Download bereitsteht:
https://de.novastor.com/install-datacenter
Wichtig: Vor dem Update stellen Sie bitte sicher, dass keine Prozesse aktiv sind. Das Monitoring der DC Web Console muss leer sein, das heißt während des Updates dürfen keine Sicherungen/Retentions usw. aktiv sein!
Fragen? NovaStor ist für Sie da!
Unsere Experten stehen Ihnen mit jahrelanger Erfahrung, aktuellen Informationen und schneller Hilfe zur Seite. Wir beraten Sie und beantworten Ihre Fragen.
Wenden Sie sich vertrauensvoll an Ihren Ansprechpartner beim deutschen Hersteller und Lösungsanbieter für Datensicherung.
Allgemeiner Kontakt:
Telefon: +49 (40) 63809 980
E-Mail: datacenter@novastor.com