QUIPSY® ist von der „Log4Shell“ genannten Sicherheitslücke definitiv nicht betroffen. Trotzdem gibt die aktuelle Bedrohung Anlass, sich über die Notwendigkeit regelmäßiger Softwareupdates Gedanken zu machen. In diesem Beitrag erfahren Sie einige Hintergründe zu Log4J und zu Sicherheitsupdates im Allgemeinen.
Sicherheitsinformationen auf der QUIPSY®-Homepage
Wenn Sie sich unschlüssig sind, ob QUIPSY® von einem Sicherheitsproblem betroffen ist, rufen Sie bitte den Bereich Sicherheitshinweise (https://www.quipsy.de/sicherheit) auf unserer Homepage auf, bevor Sie sich an unsere Hotline wenden. Viele Fragen erübrigen sich dadurch bereits.
Was ist eigentlich „Log4Shell“?
Eine Plage unserer Zeit ist die zunehmende Ausnutzung von Sicherheitslücken in Software für kriminelle Machenschaften. Je weiter verbreitet eine Software, um so besser für den Angreifer, denn dann steigt die Chance, zufällig (oder gezielt) auf einen Rechner zu stoßen, an dem eine Lücke offen steht.
Eine sehr weit verbreitete Software ist Log4J. Sie dient eigentlich nur dem Schreiben eines Fehlerprotokolls und ist in unzähligen Standardanwendungen enthalten – unter anderem in veralteten Versionen von SQL Anywhere®, der mit QUIPSY® ausgelieferten Datenbanksoftware von SAP. Log4J kann in den zu schreibenden Protokolleintrag selbständig Texte einfügen, die von anderen, fremden Servern stammen, was man eher selten benötigt und SQL Anywhere® auch nicht aktiv nutzt. Darüber hinaus kann Log4J jedoch seit einigen Releases auch eine externe Software herunterladen, diese dann starten, und sie nach einzufügendem Text befragen. Woher diese Software stammt, entnimmt sie dem zu protokollierenden Text. Und genau hier ist das Problem! Schafft es ein Angreifer, eine Log4J-nutzende Anwendung dazu zu bringen, eine Meldung in das Protokoll zu schreiben, dessen Text er selbst bestimmten kann, dann kann er Log4J damit schlicht und ergreifend anweisen, eine Anwendung von seinem Server herunterzuladen und auf dem „befallenen“ Rechner auszuführen! Typischerweise tut er das, weil er etwas Böses im Schilde führt, die heruntergeladene Software also z. B. ganz direkt Spionage, Sabotage oder Erpressung im „befallenen“ Netzwerk betreibt oder solche kriminellen Akte zumindest maßgeblich unterstützt (z. B. den „befallenen“ PC die Spionage bei einem anderen Unternehmen ausführen lässt, was den tatsächlichen Angreifer damit verschleiert und für die Strafverfolger unerreichbar macht).
Glücklicherweise ist es nicht ganz so einfach, denn zum einen gibt es vielfältige und oftmals bereits aktive Sperren gegen das beliebige Herunterladen und Ausführen von Software (beispielsweise direkt im Betriebssystem verankert oder als externe Sicherheitsanwendung oder -Appliance), zum anderen sind von der als „Log4Shell“ bekannt gewordenen Sicherheitslücke tatsächlich nur einige bestimmte Versionen von Log4J betroffen.
Wir haben QUIPSY® incl. der mitgelieferten Drittprodukte aktiv geprüft und können Entwarnung geben:
- QUIPSY® selbst benutzte noch nie Log4J und wird es auch in Zukunft nicht tun.
- SQL Anywhere® 11 benutzte Log4J tatsächlich, jedoch in einer älteren Version, welche die Fähigkeit zum beliebigen Download noch nicht besitzt, also auch von der „Log4Shell“-Sicherheitslücke nicht betroffen ist. SQL Anywhere® 17 hingegen benutzt Log4J gar nicht.
Übrigens ist die Version 11 der Datenbanksoftware weder von SAP noch von uns noch unterstützt; wir raten dringend zum Umstieg auf SQL Anywhere® 17, sofern noch nicht geschehen – ganz unabhängig von „Log4Shell“!
Ist Java denn nicht generell unsicher?
Nein, ganz sicher nicht. Java gilt sogar als ausgesprochen sichere Plattform. Durch ihre extrem hohe Verbreitung stecken die beteiligten Hersteller, wie z. B. Oracle, IBM, SAP, und viele weitere mehr, erhebliche Aufwände, um Java immer sicherer zu machen, und veröffentlichen in rascher Folge Sicherheitsupdates – was auf anderen Plattformen längst nicht üblich ist. Die hohe Verbreitung verleitet Medien aber auch leicht dazu, ihre Berichterstattung etwas zu reißerisch zu gestalten. Objektiv betrachtet ist Java sehr sicher.
Muss ich denn Java nicht laufend updaten?
Ja und nein. Es kommt darauf an, was mit „laufend“ gemeint ist. Zudem müsste man dann ja quasi täglich alle möglichen Bibliotheken updaten, ganz unabhängig von QUIPSY® und Java®, denn Sicherheitslücken gibt es in jeder Software, und täglich kommen neue hinzu. Irgendwann zwischen monatlich und täglich wird der Sicherheitszugewinn dann jedoch marginal, der administrative Aufwand hingegen immens. Ganz ehrlich: Die meisten von uns stört doch bereits der regelmäßige „Windows Patch Day“ von Microsoft! Es gilt, eine vernünftige Mitte zu finden, beispielsweise Anwendungssoftware wie QUIPSY®, unabhängig von aktuellen Schreckensmeldungen, alle paar Monate zu aktualisieren. Zu einer gewissen Regelmäßigkeit des Updatens habe ich ja an dieser Stelle schon einmal in einem älteren Beitrag aufgefordert.
QUIPSY® enthält seit einigen Jahren bereits eine sogenannte LTS-Version von Java, d. h. eine Version, für die von den beteiligten Herstellern Sicherheitsupdates verfügbar sind. Wir aktualisieren zwar das ausgelieferte Java nicht gerade jeden Tag, aber doch regelmäßig – mindestens jedoch, wenn es eine über QUIPSY® tatsächlich ausnutzbare Sicherheitslücke geben sollte. Und in Kürze[*] werden wir den Takt sogar noch verkürzen, sodass ein QUIPSY® Bug Fix auf jeden Fall ein quasi tagesaktuelles Java enthält! Ob sie das dann aber tatsächlich sofort und täglich downloaden und auf allen PCs installieren möchten, bleibt unseren Kunden natürlich selbst überlassen.
[*] Update 24.01.2022: Ab heute enthalten Java Bug Fixes das bei der Veröffentlichung des Bug Fixes aktuelle Java-Release.
Wäre Java 17 denn nicht sicherer als Java 8?
Nein, das ist ein allgemeiner Trugschluss. Die Hersteller von Java bieten für alle LTS-Versionen die gleichen Sicherheitsverbesserungen parallel an. Die Anzahl der enthaltenen Sicherheitsverbesserungen ist nämlich die letzte Stelle der Versionsnummer, nicht die erste! Die erste Stelle stellt hingegen sinngemäß die Anzahl der enthaltenen Features dar. Die 17 hat also mehr Features als 11, die 11 mehr als die 8, aber das sagt nichts über deren Sicherheit aus.
Bietet mir der Wartungsvertrag einen Vorteil?
Mit einem Wartungsvertrag haben Sie, neben anderen Vorteilen, die Möglichkeit, von unserer Homepage Software-Updates, und somit darin enthaltene Sicherheitsupdates, selbständig herunterzuladen. So oft Sie möchten. Wenn Sie es für notwendig halten, auch gerne mehrmals im Monat.
Wir empfehlen grundsätzlich allen Kunden den Abschluss eines Wartungsvertrags.
Fazit
Sie können QUIPSY® beruhigt weiter nutzen, es ist nicht von „Log4Shell“ betroffen, aber Sie sollten ab und zu, also auch unterjährig, die Software aktualisieren. Ein QUIPSY®-Wartungsvertrag bietet einen wichtigen Beitrag zur Sicherheit Ihres Unternehmens.