zobelrob
Occasional Observer

Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo zusammen,

aktuell ist eine Sicherheitslücke in log4j bekannt geworden: Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online

Betrifft diese Lücke auch den CaaS? Dieser ist bei uns aus dem Internet erreichbar und daher überlegen wir, ob wir diesen abschalten müssen.

Viele Grüß

Robert

13 Replies

Hallo Peter,

in der OnPremise Dokumentation für Administratoren steht folgendes: Auftretende Fehler und Infomeldungen werden dem Loggingsystem „log4j“ übergeben. Über das Framework kann eine Gewichtung der Log-Ausgaben vorgenommen werden.

Version 2021-05.

Ist das nicht der aktuelle Stand?

Viele Grüße

Thorsten

0 Kudos

Zero-Day Exploit in log4j:​ Hier soll es die weiteren Infos geben.

Radigewski
Occasional Collector

als schnellen Fix kann man ja in der Content Creator Webapp die beiden jars austauschen.

Wäre es nicht eine gute Idee für die letzten FirstSpirit Versionen eine neue cxt-cc.fsm mit aktualisierten jars zu liefern?

Auch wenn nur die log4j-core betroffen sein sollte, würde das den Kunden etwas Ruhe geben.

0 Kudos

Die beiden Libs kommen über Spring Boot, enthalten aber nicht die betroffene Klasse "JndiLookup".

Siehe auch: Log4J2 Vulnerability and Spring Boot

0 Kudos