Zu Hauptinhalt springen
Kontakt Impressum Datenschutz
Startseite UR

Aktuelles

14.12.21 GitHubs Antwort auf die kritische Log4j-Lücke

Die seit dem 9. Dezember bekannte Sicherheitslücke in der Logging-Bibliothek Log4j hat auch bei GitHub das Sicherheitsteam alarmiert. Innerhalb kürzester Zeit hatte die Lücke es unter der Bezeichnung CVE-2021-44228 auf die Liste offizieller Schwachstellen Common Vulnerabilities and Exposures geschafft, da sie international als besonders kritisch eingestuft wird. Die verwundbare Bibliothek ist Open Source und insbesondere in Java-Anwendungen weitverbreitet, ein Ausnutzen der Lücke könnte demzufolge zahlreiche große und kleine Unternehmen und Behörden, aber auch Privatleute weltweit betreffen.

Laut Sicherheitsteam von GitHub ist die Log4j-Schwachstelle bei den GitHub-Enterprise-Servern in der empfohlenen Konfiguration nur für authentifizierte Nutzer zugänglich. Falls allerdings eine Instanz abweichend konfiguriert ist und den Private Mode ausschließt, könnte die Schwachstelle auch nicht authentifizierten Nutzern offenstehen. Die eigenen Instanzen auf den Enterprise-Servern lassen sich wie folgt absichern:

  1. Gepatchte Version: Durch das Aktualisieren auf eine neue Version der GitHub Enterprise Server, die bereits Änderungen zum Beheben der Schwachstelle enthält, lassen sich eigene Instanzen absichern. Infrage kommen dafür die Versionen 3.3.1, 3.2.6, 3.1.14 und 3.0.22.
  2. Hotpatch: Das Aktualisieren einer vorhandenen Instanz mit einem Hotpatch ist ebenfalls eine Option und soll ohne Wartungsfenster möglich sein. Wer diesen Weg wählt, sollte die Hotpatch-Anweisungen von GitHub befolgen.


Das GitHub-Team hat dem Blogeintrag zufolge ab dem 10. Dezember Maßnahmen ergriffen, um die möglichen Auswirkungen auf GitHub.com und die GitHub Enterprise Cloud gering zu halten. Konkret wurden die Telemetriedaten überprüft und zusätzliche Überwachung eingeleitet, wobei laut Team noch kein erfolgreicher Angriff auf die Log4j-Schwachstelle erkennbar war. Das Unternehmen führt die Untersuchung und das Monitoring weiterhin durch und stellt perspektivisch weitere Updates bereit, sofern weitere Angriffspunkte bekannt werden.

Elena Kellinghaus - 17.12.2021 11:20

Elena Kellinghaus - 06.11.2023 07:39

  1. Universität

Informationssicherheit

IT-Sicherheit

Datenschutz