Log4Shell – Lücke: GENEREX – PRODUKTE SIND SICHER!

In den letzten Tagen häufen sich die Anfragen, ob GENEREX-Produkte sicher sind – Log4Shell ist derzeitig das gefürchtete Gespenst, das durch die Netzwerkwerke geistert. Was sich hinter dem Angriff verbirgt und wieso GENEREX-Produkte nicht betroffen sind, erfahren Sie in diesem Artikel.

Was wird eigentlich bei dem Log4Shell-Angriff versucht?

Dafür muss man grob verstehen, was die Bibliothek „Log4J“ eigentlich im Hintergrund macht:

Log4J ist unter anderem ein elegantes Werkzeug unter den Logging-Anwendungen. Damit kann man zum Beispiel Fehlermeldungen von Software aufzeichnen, um später die Ursachen für Probleme nachvollziehbar zu machen. Damit werden logischerweise auch Zeichenketten und Parameter, die von der Anwendung geliefert werden, protokolliert.

Ein typisches Beispiel wäre der User-Agent eines Browsers, eine E-Mail-Adresse, mit der sich ein Nutzer bei einem Webserver anmeldet, oder Statusparameter zur Indizierung weiterer Programminhalte.

Log4J kann allerdings mehr als nur protokollieren - hier können unter bestimmten Bedingungen Statusparameter auch interpretiert und bei Bedarf dann an das "Java Naming and Directory Interface" übergeben werden, der wiederum durchaus auch zusätzlich Code aus einer externen Quelle nachladen und ausführen kann.

Im Prinzip geht es also bei dem Angriff darum, auf diesen Weg dem Zielsystem seinen eigenen Code "unterzuschieben".

Warum sind Produkte von GENEREX sicher?

1.       Die Bibliothek Log4J muss verwendet werden, damit Log4Shell funktioniert.

2.       Kein GENEREX-Produkt verwendet diese Bibliothek.

Aus diesem Grund ist ein Log4Shell-Angriff auf Produkte von GENEREX nicht möglich.