Aufgrund einer sehr kritischen Sicherheitslücke (Log4J-Lücke) wurden heute

am Freitag, 10.12.2021 ab dem späten Nachmittag

diverse IT-Systeme der Hochschule heruntergefahren und sind zunächst bis zum Beheben der Lücken nicht erreichbar. Diese Maßnahme dient dem Schutz dieser kritischen THM-Systeme.

U.a. sind folgende zentrale IT-Systeme aufgrund der Log4J-Lücke heruntergefahren worden und somit nicht erreichbar:

  • Die Desktop Virtualisierungs Infrastruktur (VDI) ist von extern (Internet) nicht erreichbar. D.h., dass z.B. auch die Verw-VDI von zu Hause aus nicht erreichbar ist. (seit 13.12.2021, ca. 13:30 Uhr wieder in Betrieb)
  • die zentrale Passwortverwaltung (IDM-System) (seit 13.12.21 wieder in Betrieb)
  • das Forschungs Informationssystem (FIS) (seit 17.12.21 wieder in Betrieb)
  • das eCampus (seit 13.12. 10 Uhr wieder in Betrieb).
  • der Webdienst von StudiumPlus OSPlus
  • diverse Server der Abteilung FTN (seit 13.12.21 wieder in Betrieb)
  • etc.

Wichtige technische Hinweise für IT-Personal und Lehrende der THM

In der sehr verbreiteten und bekannten Java Bibliothek log4j (Version 2.0 - 2.14.1) wurde ein schwerwiegender Fehler entdeckt, der es Angreifern ermöglicht Code auf betroffenen Systemen auszuführen und so u.U. die Server zu übernehmen.

Prinzipiell sind alle Java-basierten Anwendungen betroffen, die über das Internet erreichbar sind und die diese Bibliothek in einer betroffenen Version (2.0 - 2.14.1) einsetzen. (Ob noch weitere Versionen, also vor der Version 2.0 angreifbar sind, ist derzeit (12.12.2021) noch nicht abschließend bekannt.)

Sollten Sie in Ihrer Organisationseinheit

  • Java basierte (Web-)Applikationen einsetzen,
  • die insbesondere aus dem Internet erreichbar sind,

ist es sehr wahrscheinlich, dass Sie auch betroffen sein könnten. Bitte prüfen Sie, ob die von Ihnen verwendete Software intern log4j einsetzt und ob die Version von log4j einer der vulnerablen Versionen entspricht (v 2.0 - 2.14.1).

Falls Ihre Software log4j in einer vulnerablen Version (2.0 - 2.14.1) verwendet, ist es dringend angeraten,

  • das System so schnell wie möglich vom Netzwerk zu trennen (insbesondere wichtig: Internet) oder
  • das System herunterzufahren.

Das System/die Anwendung sollte erst wieder eingeschaltet und mit dem Internet verbunden werden, sobald Updates für die Software bereitstehen und diese von Ihnen eingespielt wurden! Sollten Sie betroffene Anwendung im Betrieb lassen ohne zu reagieren, riskieren Sie, dass die Systeme kompromittiert werden.

Sollten Sie unsicher sein was zu tun ist oder eine Versionsprüfung von log4j zu lange dauern, schalten Sie mögliche betroffene Anwendungen ab und warten wie sich die Lage entwickelt bzw. erörtern Sie zuerst in Ruhe, ob Ihre Systeme betroffen sind. Grundsätzlich gilt: Wenn Ihre Software Java verwendet und log4j einsetzt (was sehr häufig der Fall ist), ist die Wahrscheinlichkeit relativ hoch, dass Sie betroffen sind.

Weitere Informationen zu der Lücke und ggf. Testskripte/Anweisungen die zur Prüfung verwendet werden können, entnehmen Sie bitte aus den folgenden BSI-Dokumenten:

Kritische Schwachstelle in Java-Bibliothek Log4j