SPEISEKARTE

Apache Log4j Reaktion auf Sicherheitslücken

Inhaltsverzeichnis

Übersicht über die Sicherheitslücke in Apache Log4j

Schwachstellen in Apache Log4j (CVE-2021-44228) wurde veröffentlicht. Es wird geschätzt, dass 1/3 der Server weltweit betroffen sein werden (Stand WBS am 15.12.).

In einem System, das Benutzereingabewerte und -informationen in ein Protokoll ausgibt, kann bei einem Angriff eines böswilligen externen Benutzers Remotecode ausgeführt werden.

Aktualisierung: 23.12
Obwohl seit dem 15.12. Gegenmaßnahmen ergriffen wurden, erhalten wir von IPA und anderen Quellen täglich Informationen, dass zusätzliche Maßnahmen erforderlich sind, was verwirrend ist. Zusätzlich zur Aktualisierung von Log4j auf die neueste Version haben wir alle Gegenmaßnahmen umfassend implementiert, einschließlich der Löschung der JndiLookup-Klasse, die die Hauptursache darstellt, aus dem Klassenpfad.

Betroffene Produkte und Reaktion

Chat&Messenger-Desktop, Web-App, mobile App

Keine Auswirkungen (keine Nutzung der entsprechenden Bibliothek einschließlich früherer Versionen)

Lokaler CAMserver

Lokaler CAMserver Videoserver startenJa, wenn ja.

Es bestand eine Abhängigkeit von der entsprechenden Bibliothek auf dem Webkonferenz-Videoserver, der Prozess der Ausgabe von Benutzerinformationen in das Protokoll ist jedoch nicht anwendbar. Wir haben das Systempersonal bereits benachrichtigt und werden Unterstützung bei Versionsaktualisierungen und anderen Supportleistungen leisten.

Chat&Messenger-Cloud-Server

Es bestand eine Abhängigkeit von der entsprechenden Bibliothek auf unserem Cloud-Webkonferenz-Videoserver, der Prozess der Ausgabe von Benutzerinformationen in das Protokoll ist jedoch nicht anwendbar.
Am 14.12. wurden Updates auf dem Videoserver angezeigt.

  • URLをコピーしました!
Inhaltsverzeichnis