Dieter S.: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit Warnstufe Rot vor einer akuten Sicherheitslücke in der vielgenutzten Java-Bibliothek Log4j. Diese Library wird in vielen Server-Applikationen eingesetzt und sorgt für eine kritische Schwachstelle, die es Angreifern ermöglicht, Schadsoftware zu installieren.
Können Sie bitte prüfen, ob auch unsere AVAYA Systeme betroffen sind? Und falls ja, teilen Sie uns bitte mit, was wir dagegen machen können.
LT-Webteam: Vielen Dank für Ihre sehr aktuelle Frage.
Es ist richtig, das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Freitag, 10.12.2021 vor einer neu entdeckten Sicherheitslücke in der Java-Bibliothek Log4j. Zwischenzeitlich wurde die Warnstufe durch das BSI auf Rot (bedrohlich) hochgestuft.
Gemäß BSI ist Log4j eine beliebte Protokollierungsbibliothek für Java-Anwendungen und dient der performanten Aggregation von Protokolldaten einer Anwendung. Die Java-Bibliothek Log4j ist in der Verwendung sehr weit verbreitet und kommt in einer Vielzahl von Softwareprodukten unterschiedlicher Hersteller zum Einsatz.
Entsprechend hoch ist die Bedeutung für die IT-Welt zur Zeit, da eine sehr große Anzahl von Unternehmen mit einer noch viel größeren Anzahl auf Software basierender Lösungen davon betroffen ist, unter anderem leider auch AVAYA.
Über den nachstehenden Link gelangen Sie zur Sicherheitswarnung des BSI und zu aktuellen Maßnahmen zur Überprüfung der eigenen IT-Infrastruktur: Link zur BSI Warnung zur Log4j-Sicherheitslücke
Wie viele andere Hersteller auch, arbeitet AVAYA an der Eingrenzung der Bedeutung der Log4j-Sicherheitslücke für die AVAYA Produkte. Über den nachstehenden Link ist eine Auflistung sämtlicher AVAYA Produkte einsehbar, die bezogen auf die Sicherheitslücke in der Java-Bibliothek Log4j in die Untersuchung von AVAYA einbezogen wurden.
AVAYA testet in den Laboren sämtliche Produkte auf die Log4j Sicherheitslücke und die funktionalen Auswirkungen einzelner Maßnahmen. Teilweise handelt es sich bei den AVAYA Lösungen auch um gehärtete Systeme, die einen einfachen Austausch des betroffenen Log4j Umfangs nicht ohne weiteres zulassen.
Die Auflistung wird regelmäßig aktualisiert, zeigt welche AVAYA Produkte betroffen sind und welche nicht. Ebenso werden in der Auflistung auch Maßnahmen für betroffenen Produkte veröffentlicht: Link zur Übersicht von durch Log4j betroffene AVAYA Produkte
Aus der Informationsübersicht von AVAYA wird deutlich, daß insbesondere Session Border Controller (SBC) erst ab den aktuellen Software Versionen 8.x betroffen sind. Als Maßnahme zur Behebung bietet AVAYA einen Patch für alle betroffenen SBC ab Software Version 8.1.2 oder 8.1.3. Für betroffene SBC, die sich noch nicht auf der Software Version 8.1.2 oder 8.1.3 befinden, bedeutet dies, daß sie zuvor hochgerüstet werden müssen.
Der Session Border Controller (SBC) ist hierbei besonders hervorzuheben, weil dieser aus dem Internet erreichbar ist. Daher sind für von der Sicherheitslücke in der Java-Bibliothek Log4j betroffene SBC, die von AVAYA empfohlenen Maßnahmen mit hoher zeitlicher Dringlichkeit umzusetzen.
Nachranging nach dem SBC sollten sämtliche andere über das Internet erreichbare AVAYA Systemkomponenten (insbesondere für Remote-Worker) um die Sicherheitslücke bereinigt bzw. besonders geschützt werden. Bei den anderen von der Sicherheitslücke in der Java-Bibliothek Log4j betroffenen Lösungen von AVAYA sollte die Sicherheitslücke ebenso behoben werden. Die Dringlichkeit scheint hierbei jedoch nachranging nach der Behebung beim SBC und den anderen über das Internet erreichbaren AVAYA Systemkomponenten, da diese Lösungen nicht direkt über das Internet erreichbar sind und vor einer Nutzung der Log4j-Sicherheitslücke erst andere Sicherheitsmaßnahmen überwunden werden müßten.
Inwieweit Ihr AVAYA System von der Sicherheitslücke in der Java-Bibliothek Log4j betroffen ist, können Sie selbst bereits schon einmal in der Informationsübersicht von AVAYA vorprüfen: Link zur Übersicht von durch Log4j betroffene AVAYA Produkte
Unser Security-Team informiert unsere Kunden entsprechend und plant die individuellen Maßnahmen.
Bei weiterführenden Fragen kommen Sie bitte auf uns zu. Sie erreichen uns telefonisch unter +49 (30) 986 00 3-198 oder per E-Mail an avaya-blog@lipinski-telekom.de.
