In der weit verbreiteten Java-Bibliothek Log4J ist eine Sicherheitslücke entdeckt worden, vor der am Wochenende auch das BSI gewarnt hat. Auch uns haben heute bereits diverse Nachfragen erreicht, in wie weit unsere Produkte von dieser Sicherheitslücke betroffen sind.

Die gute Nachricht vorab: Wir und unsere Kunden sind nicht von der Sicherheitslücke betroffen.

In unseren Produkten SimplexGate und REDDCRYPT verwenden wir keine Java-Komponenten. Auf der REDDOXX Appliance wird aktuell noch in einem Dienst die betroffene Java-Bibliothek verwendet. Dieser Dienst läuft allerdings ausschließlich intern innerhalb der Appliance und ist über keinen Port erreichbar. Er kann weder von außen, noch direkt auf der Appliance angesprochen werden. Darüber hinaus wird zwar die Bibliothek, nicht allerdings das betroffene Feature JndiLookup auf unserer Appliance verwendet.

Allgemeiner Tipp zum Umgang mit dieser Sicherheitslücke

Den Beschreibungen nach wird für die Ausnutzung der Sicherheitslücke ein erreichbarer Webserver (z.B. ein Apache) benötigt.

Der Angriffsvektor kann also bereits reduziert werden, wenn Ihre Systeme nicht direkt via HTTP/HTTPs im Internet erreichbar sind, sondern nur via VPN und / oder vorgeschalteter (gegen die Lücke gepatchter) Firewall.