Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Die Programmroutine hat sich als Standard-Logging-Methode bei Softwareherstellern etabliert. Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.

Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Routine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-4428 betitelte Lücke wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen als Warnstufe Rot eingestuft. Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.

KEV verwendet nicht die Protokollierungsbibliothek „log4j“ in den veröffentlichten und supporteten Versionen KEV.KOMMUNAL, KEV.KITA und KEV.TAGESPFLEGE. Ebenso kommt die Bibliothek in keinen durch die COMMPACT GmbH veröffentlichten KEV-Modulen und eingesetzten Hilfsanwendungen zum Einsatz.

Da KEV „log4j“ nicht verwendet, kann die vom BSI gemeldete Angriffsmöglichkeit in KEV nicht ausgenutzt werden.

Für Rückfragen und Unterstützung erreichen Sie uns unter der Rufnummer 0395/5686-0.
Ihre COMMPACT GmbH