In der vergangenen Woche wurde eine kritische Schwachstelle in der viel genutzten Logging-Bibliothek log4j 2 bekannt. Die im verinice.PRO-Server enthaltenen log4j-Versionen sind von der Schwachstelle nicht betroffen!
Die Schwachstelle wird u.a. in diesem Artikel beschrieben: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package und hat die CVS-Nummer CVE-2021-44228 erhalten.
Weitere Informationen finden Sie in unserem verinice-Forum: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/ Dort halten wir Sie auch zu weiteren Entwicklungen auf dem Laufenden.
Auf einem verinice.PRO-System können außerdem andere Java-Anwendungen in Tomcat vorhanden sein, die nicht vom verinice-Team installiert wurden. Da diese Anwendungen möglicherweise betroffene log4j-Versionen enthalten, empfiehlt das Team einen Parameter in die Tomcat-Konfiguration aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen verhindert. Auch hierzu finden Sie die Details in unserem Foren-Eintrag: https://forum.verinice.com/t/verinice-nicht-betroffen-von-log4j-schwachstelle/
Setzen Sie sich bei weiteren Fragen gerne mit unserem Team in Verbindung.
