Übersicht über die Sicherheitslücke in Apache Log4j
Schwachstellen in Apache Log4j (CVE-2021-44228) wurde veröffentlicht. Es wird geschätzt, dass 1/3 der Server weltweit betroffen sein werden (Stand WBS am 15.12.).
In einem System, das Benutzereingabewerte und -informationen in ein Protokoll ausgibt, kann bei einem Angriff eines böswilligen externen Benutzers Remotecode ausgeführt werden.
Obwohl seit dem 15.12. Gegenmaßnahmen ergriffen wurden, erhalten wir von IPA und anderen Quellen täglich Informationen, dass zusätzliche Maßnahmen erforderlich sind, was verwirrend ist. Zusätzlich zur Aktualisierung von Log4j auf die neueste Version haben wir alle Gegenmaßnahmen umfassend implementiert, einschließlich der Löschung der JndiLookup-Klasse, die die Hauptursache darstellt, aus dem Klassenpfad.
Betroffene Produkte und Reaktion
Chat&Messenger-Desktop, Web-App, mobile App
Keine Auswirkungen (keine Nutzung der entsprechenden Bibliothek einschließlich früherer Versionen)
Lokaler CAMserver
Lokaler CAMserver Videoserver startenJa, wenn ja.
Es bestand eine Abhängigkeit von der entsprechenden Bibliothek auf dem Webkonferenz-Videoserver, der Prozess der Ausgabe von Benutzerinformationen in das Protokoll ist jedoch nicht anwendbar. Wir haben das Systempersonal bereits benachrichtigt und werden Unterstützung bei Versionsaktualisierungen und anderen Supportleistungen leisten.
Chat&Messenger-Cloud-Server
Es bestand eine Abhängigkeit von der entsprechenden Bibliothek auf unserem Cloud-Webkonferenz-Videoserver, der Prozess der Ausgabe von Benutzerinformationen in das Protokoll ist jedoch nicht anwendbar.
Am 14.12. wurden Updates auf dem Videoserver angezeigt.