In den letzten Tagen ist eine kritische Sicherheitslücke im „log4j“ Java-Logging Framework aufgetaucht.
Log4j wird von tausenden von Java-Applikationen verwendet, unter anderem auch innerhalb von Alfresco und edu-sharing.
Aktuell sind von der Code-Execution Vulnerability die Versionen log4j 2.0-beta9 – 2.14.1 betroffen (CVE-2021-44228).
In Bezug auf edu-sharing haben wir folgende Abhängigkeiten diesbezüglich identifiziert:
Im verlinkten Dokument ist eine Handlungsempfehlung, wie selbstständig überprüft werden kann, ob das System betroffen ist (auch für andere Java-Anwendungen nutzbar)
Außerdem ist eine Schrittfolge erklärt, die verwundbare Klasse innerhalb edu-sharing 5.1 zu löschen.
Falls aktuell edu-sharing 5.1 verwendet wird, raten wir zur Löschung/Bereinigung der Klasse (Informationen dazu im angehängten PDF).
Sollten noch weitere Informationen verfügbar werden, berichten wir hier.
Handlungsempfehlung & Informationen für Server-Administratoren
Für weitere Informationen zum Fehler empfehlen wir die folgenden Artikel & Veröffentlichungen:
Webseitenbetreiber müssen, um Ihre Webseiten DSGVO konform zu publizieren, ihre Besucher auf die Verwendung von Cookies hinweisen und darüber informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird.
Der eingeblendete Hinweis Banner dient dieser Informationspflicht.
Sie können das Setzen von Cookies in Ihren Browser Einstellungen allgemein oder für bestimmte Webseiten verhindern. Eine Anleitung zum Blockieren von Cookies finden Sie hier.