WordPress log4j – eine gravierende Sicherheitslücke gefährdet weltweit Millionen Onlineanwendungen und Apps. Betroffen sind Medienberichten zufolge der Apple-Speicherdienst iCloud, die Spieleplattform Steam und ein System des Elektroautoherstellers Tesla, aber auch zahlreiche Unternehmensanwendungen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert.
Viele unserer Kunden haben uns gefragt, ob sie von der kritischen Sicherheitslücke in log4j, vor der das BSI gewarnt hat, betroffen sind und ob sie etwas unternehmen sollten. In diesem Beitrag geben wir die Antwort darauf.
Ist WordPress von der log4j-Sicherheitslücke betroffen?
Die kurze Antwort lautet: Nein. WordPress ist eine PHP-Anwendung und da log4j eine Java-Bibliothek für die Protokollierung ist, wird sie auf WordPress-Seiten nicht verwendet.
ABER: Wenn Sie irgendwo im Hosting-Stack oder in einer benutzerdefinierten Anwendung, die mit WordPress zusammenarbeitet, eine Java-Anwendung verwenden, könnten Sie betroffen sein.
Ist Apache Web Server betroffen?
Nein. log4j ist ein Projekt der Apache Software Foundation, ist aber nicht direkt mit dem Apache Webserver verbunden. Die Apache Software Foundation ist eine riesige Sammlung von Community-geführten Open-Source-Projekten, darunter Apache (HTTP-Server), Casandra, Netbeans, Subversion und viele weitere beliebte Anwendungen.
Das in diesem Beitrag verwendete Beitragsbild ist der Fotodatenbank von Pexels.com entnommen. Damit fällt das genutzte Bild unter die Creative Commons Zero (CC0) Lizenz und kann somit frei genutzt werden. Die Quellen der anderen in diesem Beitrag verwendeten Bilder sind entsprechend als Bildunterschift am jeweiligen Bild aufgeführt oder sind eigens von mir erstellte Screenshots.
