«Log4j»Sicherheitslücke auch bei Leuchter Software?

Was ist «Log4j»?

«Log4j» ist ein einzelnes Stück Software (eine Komponente/Bibliothek), das in vielen Softwareprodukten zum Protokollieren von Programmabläufen verwendet wird. Diese Protokolle dienen den IT- und Software-Spezialisten dazu, allfällige Fehler zu erkennen oder korrekte Abläufe in sogenannten «Logfiles» zu dokumentieren oder nachzuweisen. Sie ist eine sehr weit verbreitete Komponente: Hersteller wie Apple, Citrix oder Google setzen sie ein. Sie ist in der Programmiersprache «Java» geschrieben und nutzt als Basis die «Java Virtual Machine» (JVM). Ein Fehler darin erlaubt es nun einem Angreifer, fremden (und wahrscheinlich bösartigen) Programmcode in das Softwareprodukt einzuschleusen und auszuführen. In der Fachsprache nennt man das «Remote Code Execution» (RCE). Die Schwere und Breite dieser Sicherheitslücke hat das eidgenössische «Computer Emergency Response Team (GovCERT)» auf den Plan gerufen, welches Betreiber kritischer Infrastrukturen in der Schweiz (z.B. Stromversorgung) darüber informiert hat und in seinem Blogpost auch weitere technische Details nennt. Die Lücke wird aktiv ausgenutzt, weshalb sie dringend geschlossen bzw. die Exponierung eliminiert werden muss.

Ich setze Leuchter-Software ein: Bin ich auch betroffen?

Kurz gesagt: Nein. Wie bereits ausgeführt ist «log4j» eine Java-Bibliothek. Leuchter-Software wie z.B. Docugate Desktop, Docugate FTR (ehem. Regierungscontrolling), Signgate, RelationDesk oder andere massgeschneiderte Lösungen für unsere Kunden sind Microsoft .NET basierte Programme, in welchen wir «log4net» einsetzen, eine Art «Schwesterbibliothek» von «log4j». Die erfüllt denselben Zweck (das Protokollieren von Programmabläufen), allerdings ohne die lückenhafte Java-Implementierung. Docugate CLOUD, unser Software-as-a-Service-Angebot für Vorlagen über Browser und API, nutzt intern Drittkomponenten wie z.B. ElasticSearch oder Kafka, welche aber nicht öffentlich zugänglich sind und somit keine Gefahr darstellen (selbstverständlich werden sie trotzdem gepatcht).

Muss ich etwas tun? Wo bekomme ich detailliertere Informationen?

Ja, jeder IT-Verantwortliche sollte etwas tun. Als erstes gilt es, sich einen Überblick zu verschaffen, ob in «meiner» IT-Umgebung Software eingesetzt wird, die «log4j» nutzt. Wie gesagt ist das bei Leuchter-Software grundsätzlich nicht der Fall, da wir das nicht-betroffene .NET-Pendant «log4net» einsetzen. Natürlich sind spezielle Konstellationen oder eigene individuelle Anpassungen ebenfalls zu berücksichtigen, sofern Sie «log4j» für Java benutzen. In einem zweiten Schritt muss dann die entsprechende Software gepatcht und – falls dies noch nicht möglich ist – sie anderweitig vor Risiken geschützt werden. Sollten Sie technische Fragen oder ein «Aber…» haben, kontaktieren Sie ungeniert unseren ServiceDesk unter servicedesk@docugate.ch oder servicedesk@relationdesk.ch. Unsere Techniker sind gerne für Sie da.