Universität Hamburg - der Forschung, der Lehre, der Bildung, zur Homepage
Medienzentrum
Fakultät EWMedienzentrum

Foto: UHH/Denstorf

Digitale Arbeitlog4j - SicherheitslückeStand: 13.01.2022, 16:19 Uhr

16. Dezember 2021

Rotes Wort HACKED auf schwarzem Grund.

Foto: pixabay thedigitalartist-202249

Auswirkungen der log4j-Sicherheitslücke auf die Fakultät für Erziehungswissenschaft

In diesem Beitrag, welcher sich an Mitarbeiter:innen wendet, dokumentieren wir laufend aktualisiert, welche Auswirkungen die log4j-Sicherheitslücke auf unserere Fakultät hat.

Bin ich betroffen?

Viele fragen sich, ob sie mit ihrem persönlichen Dienst-IT-Gerät betroffen sind. Da die log4j-Sicherheitslücke nur ausgenutzt werden kann,

  • wenn Java installiert ist und
  • wenn Server-Dienste installiert sind, so dass andere von außen diese Dienste nutzen könnten, und
  • wenn die Server-Dienste auf Java aufsetzen (also in Java programmiert sind), und
  • wenn diese Server-Dienste log4j nutzen,

i.d.R. nicht - es gibt aber Ausnahmen.

Welche Software auf meinem IT-Gerät ist betroffen?

Dies können Sie mit einem log4j-Sicherheitslücken-Scanner (verfügbar für Windows und macOS) selbst prüfen. Diese Anleitung des RRZ beschreibt Download und Nutzung.

Hierbei finden Sie ggf. folgende Software:

Software betroffen Lösung Quelle
ArcGIS Desktop Versionen kleiner als 3.8 aktuell nicht nutzen RRZ
Mathematica aktuell in Klärung nicht nutzen, so lange der Status unklar ist RRZ
MATLAB ja ignorieren RRZ
Q Pilot Client ja ignorieren RRZ
SAS ja JndiLookup.class löschen und Java-Option setzen SAS
SPSS Statistics Version 26-28 (RRZ)
Version 25-28 (IBM)		 Updates vom RRZ einspielen für Mac bzw. Win RRZ
IBM
Tivoli TSM Backup ja log4j-jar-Dateien umbenennen
Backup-Client deinstallieren		 RRZ per E-Mail an MZ

Welche Software auf meinem IT-Gerät ist nicht betroffen?

Es tauchen immer wieder Fragen auf, ob diese oder jene Software betroffen ist. Unser Kenntnisstand (ohne Gewähr) ist:

  • Limesurvey
  • Software, die eine Portierung (u.a. log4perl, log4php, log4net, log4r) von log4j in andere Programmiersprachen nutzt, ist laut dieser Quelle nicht betroffen.
  • Thunderbird

Welche UHH-externen Dienste sind wie betroffen?

Dienst betroffen Lösung Quelle
Collaboard nein Collaboard per E-Mail an MZ
Jamf nicht mehr Jamf
Miro nicht mehr Miro
Padlet nicht mehr Padlet
UnterrichtOnline nicht mehr LMU per E-Mail an MZ

Welche log4j-Version ist sicher?

Nach aktuellen Stand (zdnet & apache) ist die Version 2.17.0 und höher sicher. D.h. wenn Sie bei sich eine log4j-jar-Datei mit der Versionsnummer kleiner als 2.17.0 finden, dann ist Ihr System potentiell gefährdet. Ausnahmen siehe oben.

Weitere Meldungen

Kürzel MZ und Name EW-Medienzentrum in grau auf weißem Feld

Foto: UHH / Iver Jackewitz

31.03.2023|Betrieb
Öffnungszeiten im SoSe23
Unsere neuen Öffnungszeiten im Sommersemester 2023 - insbesondere in der Vorlesungszeit stehen fest.
Kürzel MZ und Name EW-Medienzentrum in grau auf weißem Feld

Foto: UHH / Iver Jackewitz

02.12.2022|Betrieb
Wir haben über Weihnachten geschlossen.
Wir haben über Weihnachten und den Jahreswechsel geschlossen und bieten in dieser Zeit keine Services an.