Sicherheitsforscher haben kürzlich eine Sicherheitslücke entdeckt, die die Remote-Ausführung von Code ermöglicht (CVE-2021-44228). Sie betrifft das Tool Log4J von Apache, ein zur Protokollierung verwendetes Java-Dienstprogramm, das von sehr vielen Software-Anbietern verwendet wird.
Das Sicherheitsteam von Udemy hat die Udemy-Systeme seit der Entdeckung dieses Problems sorgfältig überprüft und entsprechende Schutzmaßnahmen ergriffen. Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte. Wir bleiben aber selbstverständlich dran und prüfen weiterhin kontinuierlich, ob sich diese Sicherheitslücke auf unsere Infrastruktur und Anwendungen auswirkt.
Bei derart hochgefährlichen Sicherheitslücken ergreifen unsere Teams eine Reihe von Sofortmaßnahmen: Sie testen, ob unsere Systeme von der Sicherheitslücke betroffen sind, beschränken Netzwerkverbindungen und wenden Software- und/oder Systemupdates bzw. Umgehungslösungen an, wo dies nötig ist. Unsere Sicherheits- und Engineering-Teams werden unser gesamtes System sowie wichtige Verarbeitungspartner und Anbieter kontinuierlich auf Vorhandensein dieser Sicherheitslücke, Angriffsversuche und Meldungen von Dritten, die für uns arbeiten, überwachen.
Wenn wir über neue Informationen verfügen, wird diese Seite entsprechend aktualisiert. Unser Sicherheitsteam arbeitet kontinuierlich daran, unsere Systeme gemäß den aktuellen Empfehlungen der Sicherheitsforscher abzusichern, und kann daher zurzeit keine individuellen Maßnahmen bereitstellen. Genauere Infos zu unserer Herangehensweise findest du in den folgenden Antworten auf häufig gestellte Fragen.
Habt ihr auf eine sicherere Version von Log4J (2.0-2.14.1) aktualisiert?
An allen Stellen, an denen zuvor gefährdete Versionen von Log4J verwendet wurden, haben wir Abhilfemaßnahmen ergriffen, z. B. auf eine empfohlene neuere Version aktualisiert oder empfohlene Umgehungslösungen implementiert. Darüber hinaus haben wir unsere mehrschichtigen Schutzmaßnahmen angepasst, d. h. ein- und ausgehende Netzwerkverbindungen zusätzlich eingeschränkt, um unsere Systeme besser abzusichern.
Wann sind die Sicherheitsmaßnahmen abgeschlossen?
Da sich die Muster der Angriffe auf die Log4J-Sicherheitslücke zurzeit ständig ändern und weiterentwickeln, verfolgt unser Sicherheitsteam die Hinweise von Sicherheitsexperten und -anbietern und wird bei der Veröffentlichung von neuen Empfehlungen entsprechende Abhilfe- und Schutzmaßnahmen ergreifen.
Wurden Kundendaten kompromittiert?
Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte.
Befragt ihr externe Anbieter, die in euren Systemen verwendet werden, wie sie von Log4J betroffen sind?
Udemy hat externe Anbieter kontaktiert und hat Updates, die von betroffenen Anbietern bereitgestellt wurden, an den jeweiligen Anwendungen und Tools vorgenommen. Darüber hinaus behalten wir von Sicherheitsexperten zusammengestellte Listen im Auge und werden Sicherheitsmaßnahmen, die für bestimmte Tools empfohlen werden, umgehend umsetzen.