System-Administrator (m/w/d)
15. November 2021
Alle zeigen

Security Informationen bezüglich CVE-2021-44228 (log4j)

In den letzten Tagen ist eine kritische Sicherheitslücke im „log4j“ Java-Logging Framework aufgetaucht.
Log4j wird von tausenden von Java-Applikationen verwendet, unter anderem auch innerhalb von Alfresco und edu-sharing.

Aktuell sind von der Code-Execution Vulnerability die Versionen log4j 2.0-beta9 – 2.14.1 betroffen (CVE-2021-44228).

In Bezug auf edu-sharing haben wir folgende Abhängigkeiten diesbezüglich identifiziert:

  • edu-sharing 4.x, 5.0: Enthält keine betroffene log4j Version/Abhängigkeiten davon
  • edu-sharing 5.1: Enthält in einer Abhängigkeit (Elasticsearch Client) eine betroffene log4j Version
  • edu-sharing 6.0: Enthält keine betroffene log4j Version/Abhängigkeiten damit (ABER: Sofern ein Elasticsearch-Server installiert ist, muss dieser geprüft werden!)

Im verlinkten Dokument ist eine Handlungsempfehlung, wie selbstständig überprüft werden kann, ob das System betroffen ist (auch für andere Java-Anwendungen nutzbar)
Außerdem ist eine Schrittfolge erklärt, die verwundbare Klasse innerhalb edu-sharing 5.1 zu löschen.
Falls aktuell edu-sharing 5.1 verwendet wird, raten wir zur Löschung/Bereinigung der Klasse (Informationen dazu im angehängten PDF).

Sollten noch weitere Informationen verfügbar werden, berichten wir hier.

Handlungsempfehlung & Informationen für Server-Administratoren

Für weitere Informationen zum Fehler empfehlen wir die folgenden Artikel & Veröffentlichungen:

 

Deutsch
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Wenn Sie fortfahren, diese Seite zu verwenden, nehmen wir an, dass Sie damit einverstanden sind. / We use cookies to improve the user-friendliness of the site. If you continue to use it, we'll assume you are ok with that.