Seit das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe herausgegeben hat, ist das Internet voll mit Berichten über eine gefährliche Java-Sicherheitslücke. Da dummerweise die meisten professionellen Webanwendungen auf Java basieren, ist seit ein paar Tagen jeder größere Webserver von Apple und Amazon bis Tesla angreifbar.
Auch CORONIC setzt auf Java. Auch unsere Produkte verwenden Java-Server. Hier können wir aber Entwarnung geben: weder die Server-Familien der VISOR Computercheck Reihe, noch des gehärteten PROTECT Browsers, noch der SIGN Transaktions-Autorisierung sind von der aktuellen Sicherheitslücke betroffen. Die eigentliche Sicherheitslücke steckt in einer weitverbreiteten Java Bibliothek (Log4j), die sich um das Logging kümmert. Der Angreifer kann manipulierte Anfragen an einen betroffenen Server schicken und dieser lädt dann eine potenziell bösartige Java-Klasse von einem anderen Server und führt sie aus. Dadurch erlangt der Angreifer Administratorrechte auf dem betroffenen Java-Server. Inzwischen ist ein richtiger Wettlauf zwischen Angreifern und Verteidigern entbrannt. Eine aktuelle Version für Log4j kann inzwischen eingespielt werden und hat dieses Einfallstor geschlossen. Für Technikinteressierte hier die Meldungen von Heise und auch die Einschätzung des BSI