Seit vergangener Woche erschüttert eine Sicherheitslücke im "log4j"-Framework die IT-Welt.
log4j ist ein Programmier-Werkzeug für die Protokollierung von Anwendungsmeldungen. Fehlermeldungen der Software, technische Hinweise wie "Festplattenspeicher bald voll" und so weiter werden von log4j in eine Protokolldatei zur späteren technischen Analyse weggeschrieben, und normalerweise ist diese überschaubare Aufgabe das einzige, was ein Logging-Tool tun soll.
Logging ("Protokollierung") ist grundsätzlich sehr nützlich und dient Technik und Support der Aufzeichnung und Verfolgung von Fehlerzuständen und Fehlentwicklungen (siehe Logging in Smartstore).
Das log4j gibt es nur für die Computersprache Java, dafür steht der letzte Buchstabe "j". Im Laufe der Jahre hat es sich zu einem Quasi-Standard in vielen Open-Source- und kommerziellen Softwareprodukten entwickelt.
Durch die neu gefundene Sicherheitslücke können Angreifer sehr leicht eigene Software auf fremden Rechnern ausführen. Das brachte in der letzte Woche breitflächige Störungen, wie etwa bei den bekannten Cloud-Diensten Amazon Web Services, Steam und iCloud.
Kein log4j in SmartstoreDie Smartstore-Shopsoftware ist von der log4j-Lücke nicht betroffen.
Smartstore ist mit Microsoft .NET-Technologie gebaut, nicht mit Java.
Selbst einen Port von log4j zu Microsoft .NET namens "log4net" nutzen wir schon lange nicht mehr. Wir setzen neuerdings auf Serilog.
Smartstore-Shopbetreiber sind nur dann betroffen, wenn sie oder auch ihr Hoster neben Smartstore noch andere Systeme mit log4j in Betrieb haben, vor allem, wenn sie online angebunden sind.
