Apache log4j und Log4cxx: Schwachstellen bei Dateimanipulation
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein neues Sicherheitsadvisory zu Apache log4j und Log4cxx veröffentlicht. Die betroffenen Logging-Bibliotheken weisen mehrere Schwachstellen auf, die eine Manipulation von Dateien ermöglichen.
Risikobewertung
Die Risikostufe wird als MITTEL eingestuft. Anders als bei früheren log4j-Schwachstellen (etwa Log4Shell) handelt es sich hier um Integritätsprobleme, nicht um Remote Code Execution. Allerdings liegen noch keine detaillierten CVE-Informationen vor, weshalb eine präzise Bewertung derzeit nicht möglich ist.
log4j ist eine weit verbreitete Java-Bibliothek. Sie kann direkt eingesetzt oder als versteckte Abhängigkeit in anderen Anwendungen vorhanden sein.
Was ist zu tun?
- Prüfen Sie, ob log4j oder Log4cxx in Ihren Systemen verwendet werden – auch als indirekte Abhängigkeit.
- Beobachten Sie das Advisory auf Updates und CVE-Details.
- Sobald Patches verfügbar sind, planen Sie zeitnah ein Update ein.
- Angesichts der Vorgeschichte von log4j sollten neue Schwachstellen in diesem Produkt prioritär behandelt werden.
Wir empfehlen, das Advisory in den kommenden Wochen im Blick zu behalten.
Quelle: CERT-Bund Advisory WID-SEC-2026-2292 · Risikostufe: MITTEL · Generiert am 14.07.2026