Search the FirstSpirit Knowledge Base
Hallo zusammen,
aktuell ist eine Sicherheitslücke in log4j bekannt geworden: Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online
Betrifft diese Lücke auch den CaaS? Dieser ist bei uns aus dem Internet erreichbar und daher überlegen wir, ob wir diesen abschalten müssen.
Viele Grüß
Robert
Zero-Day Exploit in log4j: Hier soll es die weiteren Infos geben.
Hallo,
CaaS ist (genauso wie FirstSpirit) nicht betroffen.
Zum loggen wird beim CaaS Logback Classic eingesetzt.
Liebe Grüße
Hallo Peter.
Alle FS Versionen sind nicht betroffen?
Die Suche nach Log4J im FS (2020-05) Verzeichnis gibt die Libs aufgelistet zurück:
/opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-to-slf4j-2.12.1.jar
/opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-api-2.12.1.jar
Gruss & Danke,
Olga
Hallo Peter,
hier wäre wohl eine vollständige Auflistung aller FS Versionen hilfreich, welche betroffen und welche nicht sind.
Nicht alle laufen auf der aktuellsten Version.
Viele Grüße
Matthias
Hallo!
Gibt es schon eine offizielle Liste bzw. Info, welche Versionen von FirstSpirit von der Log4j Sicherheitslücke betroffen bzw. nicht betroffen sind?
Evtl. gibt es ja auch proaktiv von e-Spirit eine Konfigurationsempfehlung, wie diese kurzfristig zu schließen ist.
Viele Grüße
Volker
Hallo zusammen,
bei uns kann ich folgende Versionen im FirstSpirit Verzeichnis finden:
2021-06 - Webedit:
log4j-api-2.13.3.jar
log4j-to-slf4j-2.13.3.jar
2021-09 - Webedit:
log4j-api-2.14.1.jar
log4j-to-slf4j-2.14.1.jar
Kann schon jemand sagen, wie es mit der neuen FS Version 2021-12 die am Freitag veröffentlicht wurde, aussieht?
[RELEASE] FirstSpirit™ 2021-12
Mit freundilchen Grüßen
Stephan Eginger
Hallo zusammen,
wir arbeiten gerade intensiv und aktiv an der Analyse der Schwachstelle und tragen entsprechende Informationen hier zusammen:
Der Post entsteht gerade und wird nach und nach und schnellstmöglich mit Infos angereichert. Bitte haltet diesen im Auge, um schnellstmöglich über Updates informiert zu werden, die wir heute und in den nächsten Tagen ergänzen werden.
Herzliche Grüße
Daniel
Hallo,
Vielleicht hilft das bei der Klärung: in der Mitteilung bei apache https://logging.apache.org/log4j/2.x/security.html wird explizit auf das "logj4-core" hingewiesen.
"Versions Affected: all log4j-core
versions >=2.0-beta9 and <=2.14.1"
Das log4j-core-xx.jar ist in einer FirstSpirit Installation wohl nicht mit dabei, da das eigentlich Logging wie von PeterJodeleit beschrieben über Logback ausgeführt wird und nicht über log4j-core.
Gruß,
Christian Brandel
Hi zusammen,
meines Wissens nach sind nur Systeme betroffen, die die log4j-core nutzen. log4j-to-slf4j und log4j-api können wohl nicht exploitet werden:
Log4J2 Vulnerability and Spring Boot
Viele Grüße
Felix
Im fs-server.jar wird die Version 1.2 mit ausgeliefert. Die 1.x Versionen sind auch nicht so ganz frei von der Problematik so habe ich das bisher verstanden. Wie ist denn da die Handlungsempfehlung?