System-Administrator (m/w/d)
15. November 2021
edu-sharing 7.0 is ready
5. July 2022
In den letzten Tagen ist eine kritische Sicherheitslücke im “log4j” Java-Logging Framework aufgetaucht.
Log4j wird von tausenden von Java-Applikationen verwendet, unter anderem auch innerhalb von Alfresco und edu-sharing.
Aktuell sind von der Code-Execution Vulnerability die Versionen log4j 2.0-beta9 – 2.14.1 betroffen (CVE-2021-44228).
In Bezug auf edu-sharing haben wir folgende Abhängigkeiten diesbezüglich identifiziert:
- edu-sharing 4.x, 5.0: Enthält keine betroffene log4j Version/Abhängigkeiten davon
- edu-sharing 5.1: Enthält in einer Abhängigkeit (Elasticsearch Client) eine betroffene log4j Version
- edu-sharing 6.0: Enthält keine betroffene log4j Version/Abhängigkeiten damit (ABER: Sofern ein Elasticsearch-Server installiert ist, muss dieser geprüft werden!)
Im verlinkten Dokument ist eine Handlungsempfehlung, wie selbstständig überprüft werden kann, ob das System betroffen ist (auch für andere Java-Anwendungen nutzbar)
Außerdem ist eine Schrittfolge erklärt, die verwundbare Klasse innerhalb edu-sharing 5.1 zu löschen.
Falls aktuell edu-sharing 5.1 verwendet wird, raten wir zur Löschung/Bereinigung der Klasse (Informationen dazu im angehängten PDF).
Sollten noch weitere Informationen verfügbar werden, berichten wir hier.
Handlungsempfehlung & Informationen für Server-Administratoren
Für weitere Informationen zum Fehler empfehlen wir die folgenden Artikel & Veröffentlichungen:
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3
- https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html
