Sicherheitslücke bei Log4j – Eventfrog ist nicht betroffen

Das Wichtigste zuerst: Eventfrog ist nicht von der Sicherheitslücke von Log4j betroffen, da wir diese Software nicht nutzen.

Worum geht es bei der Log4j-Sicherheitslücke?

Log4j steht für «Logging for Java» und ist eine Software, die zur Unterstützung der Programmiersprache Java genutzt wird. Diese sogenannte Programmierbibliothek protokolliert die Aktivitäten eines Programms. Das ist insofern sinnvoll und hilfreich, weil sich mit diesem Ereignisprotokoll im Nachhinein Fehler nachvollziehen lassen.

Log4j wird in sehr vielen Online-Anwendungen verwendet, jedoch nicht bei Eventfrog. Wir nutzen für diesen Zweck eine andere Software.

Log4j protokolliert auch die Eingaben und Anfragen von Nutzer:innen und interpretiert diese gegebenenfalls. Und genau hier beginnt das Problem, das nun als Sicherheitslücke Log4 Shell bekannt wurde.

Durch diese Interpretation der Eingabe kann es zur Ausführung von fremdem Code kommen: Remote Code Execution (ferngesteuerter Codeausführung). Konkret bedeutet das, dass über diese Lücke, kriminelle Angreifer fremde Schadsoftware einschlossen könnten.