Hallo Ralf,

log4j ist eine Lib, die von Java Programmen für's Logging genutzt wird. Normalerweise findet mal ein log4j*.jar im Installationsordner dieser Application. Je nach Umfeld muss das natürlich nicht unbedingt bedeuten, dass sie auch verwendet wird.

Betroffen sind die Versionen 2.0 bis 2.14, die Version findet sich im Namen des JAR.

Kritisch ist die Sache bei Systemen, die Daten von irgendwo außerhalb empfangen und diese in ein Logfile schreiben könnten. Denn dann könnte in den geloggten Daten eine spezielle ${...} Zeichenfolge sein, die einen JNDI-Lookup auslöst - und darüber lässt sich Unsinn anrichten. Begriffen habe ich das selbst auch nicht. Ich bin kein Java-Entwickler, ich bin im Beruf nur Produktverantwortlich für mehrere zugekaufte Java-Anwendungen. Bei einer von denen konnte ich die JAR einfach durch die 2.15 Version austauschen und die App lief sauber weiter, aber das ist nicht garantierbar.

Du müsstest also die Java Anwendungen oder -Services katalogisieren, die ihr verwendet, und bei denen gucken, was sie tun. Ein Filesystem-Scan nach log4j*.jar kann helfen.

Ich kann Dir keinen detaillierten Rat geben. Ich weiß auch nur, was auf den BSI-Seiten und ein paar davon verlinkten Seiten steht.

Ob Router betroffen sein könnten? Keine Ahnung, ob ein Router mit log4j irgendwas loggen möchte.

Rolf