Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten
Aggregation von Protokolldaten einer Anwendung.
Derzeit ist das Ausmaß der durch die Vulnerabilität entstandene Sicherheitslücke noch nicht abschätzbar.
Klar ist, dass log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Wir arbeiten daran Informationen für unsere Power Kunden zusammenzustellen um erste Maßnahmen zu ergreifen.
Hier schon einmal einige Informationen:
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
How Log4j Vulnerability Could Impact You (securityintelligence.com)