Das Bundesamt für Sicherheit hat eine kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228).
Was ist passiert?
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
Der Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Ein Proof-of-Concept (PoC) der Schwachstelle wurde auf Github veröffentlicht [GIT2021a] und auf Twitter geteilt [TWI2021]. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen [GIT2021b]. Skripte solcher Art können zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen.
Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
Quelle: bsi.bund.de
Welche Auswirkungen hat das auf Ihr edoc solutions ag Produkt?
Die Produkte der edoc solutions ag enthalten kein Java und sind auch keine Java-Anwendungen. Die vom BSI veröffentlichte kritische Schwachstelle ist somit in den Produkten der edoc solutions ag nicht enthalten.
Auswirklungen auf die Produkte der d.velop AG
In einigen Produkten der d.velop AG ist Java enthalten oder es sind Java-Anwendungen. Die d.velop AG hat in ihrer Knowledge Base dazu einen KB-Artikel angelegt, wo die aktuell betroffen Produkte aufgeführt werden.
Zum KB-Artikel von d.velop
Auswirkungen auf die Produkte der xSuite
Zu den Informationen von xSuite
Auswirkungen auf die Produkte von Shareflex
Die kürzlich bekanntgewordene Sicherheitslücke im Java Baustein Log4j hat keine Auswirkungen auf die Shareflex Online Services und Shareflex Online Solutions. Die Portal Systems AG setzt auf Microsoft .Net und nicht auf Java. Betroffen sind ausschließlich Anwendungen auf Basis von Java.
Auswirkungen auf die Produkte von FAST LTA
Die kürzlich bekanntgewordene Sicherheitslücke im Java Baustein Log4j hat keine Auswirkungen auf Silent Cubes und Silent Brick Systeme.
Bitte informieren Sie sich hier, ob es ein von Ihnen eingesetztes Produkt betrifft.
Für eventuelle Rückfragen, Unterstützung oder Bewertung der Situation, stehen wir Ihnen natürlich über die bewerten Kanäle zur Verfügung.