FAQs zur Log4j-Schwachstelle für LastPass

Die offizielle Version dieses Inhalts ist auf Englisch. Einige Inhalte der GoTo-Dokumentation wurden maschinell übersetzt, um den Zugriff zu erleichtern. GoTo hat keine Kontrolle über maschinell übersetzte Inhalte. Diese können Fehler, Unstimmigkeiten oder unangemessene Sprache enthalten. Es gibt keine Garantie, weder ausdrücklich noch stillschweigend, hinsichtlich der Exaktheit, Zuverlässigkeit, Eignung oder Fehlerfreiheit von Übersetzungen der englischen Originaltexte in eine andere Sprache, und GoTo kann nicht haftbar gemacht werden für etwaige Schäden oder Probleme, die sich aus der Verwendung dieser maschinell übersetzten Inhalte oder dem Vertrauen auf diese Inhalte ergeben könnten.

Im Folgenden finden Sie wichtige Informationen über die Log4j-Schwachstelle.

Worin besteht die Schwachstelle?

Am Freitag, den 10. Dezember, wurde eine Zero-Day-Schwachstelle in einem weit verbreiteten Open-Source-Protokollierungstool namens Log4j, das Teil der Apache Logging Services ist, entdeckt, die einen bedeutenden Teil der Softwareindustrie betrifft.
Eine zweite Sicherheitslücke, die Apache Log4j betrifft, wurde am Dienstag, den 14. Dezember gefunden.
Durch diese Sicherheitsanfälligkeit ist es für die Betroffenen möglich, dass ein Angreifer Zugriff auf die Protokollmeldungen oder Parameter von LDAP oder anderen Java Naming Directory Interface (JNDI) erlangt und kontrolliert und anschließend versucht, von entfernten Servern geladenen Code auszuführen.

Ist LastPass davon betroffen?

Nach Bekanntwerden der Schwachstelle hat LastPass eine Untersuchung eingeleitet, um festzustellen, ob weitere Maßnahmen erforderlich sind, um die Schwachstelle zu beseitigen. Die Untersuchung ergab zum jetzigen Zeitpunkt keinen Hinweis auf eine Kompromittierung, und für die große Mehrheit der LastPass Kunden besteht kein Handlungsbedarf.
Als Teil der Untersuchung hat unser Team ein Update für LastPass MFA-Kunden veröffentlicht, die den Universal Proxy unter Windows mit aktivierter Debug-Protokollierung verwenden. Diesen Kunden wird dringend empfohlen, die neueste Version des Universal Proxy 3.0.3 oder 4.1.3 zu aktualisieren.
Es sind keine Maßnahmen erforderlich, wenn Sie derzeit kein LastPass MFA-Kunde sind und den Universal Proxy unter Windows mit aktivierter Debug-Protokollierung verwenden.

Was ist der LastPass Universal Proxy?

Der LastPass Universal Proxy erweitert die Reichweite von LastPass MFA auf lokale Anwendungen, wie z.B. VPNs, um eine zusätzliche Sicherheitsebene bei jeder Anmeldung zu schaffen.
Eine Anleitung zum Einrichten des Universal Proxy finden Sie hier.

Muss ich irgendetwas tun?

LastPass Free-, Premium-, Families-, Teams- und Business-Kunden müssen keine Maßnahmen ergreifen.
LastPass MFA-Kunden, die den Universal Proxy unter Windows mit aktivierter Debug-Protokollierung verwenden, wird dringend empfohlen, auf die neueste Version des Universal Proxy 3.0.3 oder 4.1.3 zu aktualisieren.