Definition Was ist Log4j?

Von Eva Hornauer

Ende 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer kritischen Sicherheitslücke. Genau diese Sicherheitslücke führte unter anderem dazu, dass der Bundesfinanzhof (BFH) die hauseigene Webseite nach einem Hackerangriff abschalten musste. Die Rede ist hier in beiden Fällen von „Log4j“ – aber was ist das eigentlich?

Ein Angreifer könnte diese Schwachstelle nutzen und damit einzelne Programme ausführen oder gar das System vollständig übernehmen
Ein Angreifer könnte diese Schwachstelle nutzen und damit einzelne Programme ausführen oder gar das System vollständig übernehmen
(© aga7ta – Fotolia)

Die Java-Bibliothek, die zum Anmelden von Anwendungen genutzt werden kann– Log4j genannt – läuft auf der freien Open Source Software der Apache Software Foundation. Zum Anmelden werden hier die Benutzerinformationen ähnlich wie in einem Logbuch dokumentiert. Log4j gilt als Vorreiter für Loggin-Frameworks und wird in den meisten Java basierten Programmen als Standard verwendet.

Was ist das Problem mit Log4j?

Die Schwachstelle in Log4j wird als Log4Shell oder CVE-2021-44228 bezeichnet und löst einen Mechanismus im Anmelde-Framework aus, der bereits protokollierte Ereignisse auswertet und diese versucht zu interpretieren. Ein Angreifer könnte diese Schwachstelle nutzen und damit einzelne Programme ausführen oder gar das System vollständig übernehmen. Dadurch könnte zum Beispiel weitere Schadsoftware nachgeladen oder vertrauliche Daten aus dem System geschöpft werden.

Das BSI erklärt die Problematik der Log4Shell-Schwachstelle so: „Die Protokollierungsbibliothek dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab den Versionen 2.10 auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann.“

(ID:47912792)