Sie sind hier: Startseite Nachrichten Log4j: SPSS u.a. - Sicherheitslücken auch am Arbeitsplatz
Datum: 15.12.2021

Log4j: SPSS u.a. - Sicherheitslücken auch am Arbeitsplatz Anwendungen, die auf dem lokalen PC Java verwenden, können ebenfalls betroffen sein.

Die Log4j-Problematik betrifft nicht nur Server, sondern kann auch an Arbeitsplätzen Probleme verursachen. Anwendungen, die auf dem lokalen PC Java verwenden, sind u.U. ebenfalls gefährdet, wenn sie z.B. manipulierte Dateien öffnen, die über das Internet verbreitet werden. Hier hilft nur: Bis zur Korrektur ("Update/Fix der Hersteller installieren") Dateien nicht oder nur bei klarer Herkunft verwenden.

Die Log4J-Sicherheitslücke beschäftigt IT-Leute zurzeit sehr. Überall kann man lesen, dass viele Server, aber auch Systeme, die Java fest eingebaut haben (Drucker, Netzwerkkomponenten, Türschlösser, Smart-Home-Komponenten etc.) ebenfalls betroffen sein können.

Die Risiken an einem "Arbeitsplatz" haben die meisten Meldungen dabei aber nicht hinreichend beschrieben. Wenn ein Arbeitsplatz-Computer Dienste ins Internet anbietet, ist er wie ein Server zu betrachten - das ist einfach, aber das verwenden die wenigsten. Wenn aber eine installierte Anwendung INTERN Java verwendet, kann der Rechner trotzdem gefährdet sein.

Ein Beispiel, welches auch an der Universität Bonn weit verbreitet ist, stellt SPSS dar. Mit der Installation von SPSS werden auch Java-Bibliotheken auf den Rechner installiert. Die Gefahr besteht nun darin, dass man mit dieser Anwendung manipulierte Dateien öffnen könnte (z.B. aus dem Internet heruntergeladen oder per E-Mail erhalten), die dann auf den eigenen Rechner Schadcode nachladen können und dann selbst gefährdet sind und andere Systeme gefährden...

Für das Beispiel SPSS hat die Fa. IBM mittlerweile Updates (sogenannte "Interim Fixes") und Informationen  - aber nur für die noch unterstützten Versionen - bereitgestellt:

[Edit 16.12.2021: IBM hat den gestern noch funktionierenden hier aufgeführten Link <https://www.ibm.com/support/pages/apache-log4j-remote-code-execution-vulnerability-log4shell > geändert auf:]

https://www.ibm.com/support/pages/node/6526182 und https://www.ibm.com/support/pages/node/6525830

- Immerhin sind der Lizenzmanager und Amos nicht betroffen. Die ASKnet AG - unsere Lizenzgeberin - stellt diese Fixes in Kürze über die Download-Portale im Software-Shop ebenfalls zur Verfügung. Bitte installieren Sie diese Fixes so bald wie möglich.

Grundsätzlich gilt: Vorsicht bei allen Anwendungen, die die betroffenen Java-Klassen auch auf dem eigenen Rechner installiert haben! Bis auf Weiteres sollte man darauf verzichten, Dateien "von außen" mit diesen Programmen zu öffnen und sehen, ob es für solche Anwendungen aktuelle Patches/Fixes/Updates gibt, die das Problem beseitigen.

Artikelaktionen