Eine Sicherheitslücke in einer weit verbreiteten Open-Source-Software alarmiert IT-Experten. Aktuell geht Snom Technology jedoch von keinerlei Gefährdung seiner IP-Telefone aus.
Berlin | Die Sicherheitslücke im Java-Logging-Framework log4j sorgt seit dem Wochenende weltweit für Schlagzeilen und viel Verunsicherung. Viele wissen bisher nur um die große Gefahr, die sie birgt.
Bei Log4j handelt es sich um eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Serverbetrieb in Java wie in einem Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von Fehlern. Die von dieser Sicherheitslücke betroffenen Unternehmen sind aktuell vorrangig Betreiber von Diensten und IT-Infrastrukturen. Endanwender stehen bei dieser Lücke erst einmal nicht im Fokus. Dennoch ist die Verunsicherung groß, und auch Snom hat schon zahlreiche Anfragen bezüglich der Sicherheit seiner Endgeräte erhalten.
Hier kann Entwarnung gegeben werden: „Die webbasierte Management-Oberfläche unserer Endgeräte setzt kein Java ein, weshalb auch kein Bedarf für Logging-Bibliotheken wie Log4j besteht“, bestätigt Jan Boguslawski, Product Owner bei Snom. „Die Snom-Telefone sind nicht von der aktuellen Schwachstelle in Log4j betroffen.“ Da ohnehin kein klassischer Webserver (Apache, IIS etc.) zum Einsatz kommt, der die Einbindung von Bibliotheken ermöglichen könnte, ist eine Integration von bspw. Java nicht möglich. Es bestehen daher keine Angriffsflächen und daher auch kein Handlungs-/Patch-Bedarf.