Die bewährte Content Collaboration Platform (CCP) und File Sync&Share-Lösung (EFSS) PowerFolder ist nicht von der Schwachstelle CVE-2021-4428 der Log4j-Protokollierungsbibliothek für Java-Anwendungen betroffen und kann bedenkenlos weiter eingesetzt werden; auch das verwendete Partner-Produkt ONLYOFFICE Docs ist sicher.

Meerbusch, 15.12.2021 – Anfang der Woche hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste IT-Bedrohungslage „4/Rot“ ausgerufen. Anlass ist eine Schwachstelle namens „Log4Shell“ (auch CVE-2021-44228) in der weit verbreiteten Protokollierungsbibliothek „Log4j“ für Java-Anwendungen, die es Angreifern ermöglicht, Server relativ einfach aus der Ferne zu übernehmen und dort Schadsoftware auszuführen. Dadurch weisen nun die Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken auf, wie das BSI mitteilt. Die bewährte Content Collaboration Platform (CCP) und File Sync&Share-Lösung (EFSS) PowerFolder ist indes aber nicht von „Log4Shell“ (CVE-2021-4428) betroffen, da bei PowerFolder in der Software nicht die Bibliothek „Log4j“ verwendet, sondern stattdessen ein im Java-System nativ implementierter Protokollmechanismus genutzt wird. Auch das verwendete Partner-Produkt, die in PowerFolder integrierte Office-Lösung „ONLYOFFICE Docs“, ist ebenfalls nicht von der Sicherheitslücke betroffen. PowerFolder kann also bedenkenlos weiter eingesetzt werden.

Was ist Log4j? Und wo ist die Schwachstelle?

Log4j ist eine Open-Source-Protokollierungsbibliothek für Java-Anwendungen. Mit ihrer Hilfe können IT-Abteilungen beobachten, was in auf Java basierenden Programmen passiert, um so beispielsweise Fehler im Programmablauf zu finden. Die erste Version wurde vor etwa 21 Jahren veröffentlicht und ist mittlerweile so etwas wie der Logging-Standard geworden. Sie wird weltweit von tausenden von Unternehmen und Behörden eingesetzt, darunter auch Größen wie Apple, Google, Tesla oder Amazon. Die jetzt entdeckte Schwachstelle erlaubt es, dass bestimmte Zeichenfolgen die Sicherheitsmechanismen ungehindert passieren können und unter Umständen von Log4j als Befehl interpretiert werden. Dadurch können auf Servern leicht Befehle ausgeführt werden, die es Angreifern ermöglichen, Schadsoftware nachzuladen oder die Server zu übernehmen. In den ersten 72 Stunden nach Bekanntwerden der Sicherheitslücke zählten Sicherheitsunternehmen fast eine Million Server-Attacken. Betroffen sind die Log4j-Versionen 2.0-beta9 bis 2.14.1.