Search the FirstSpirit Knowledge Base
Hallo zusammen,
aktuell ist eine Sicherheitslücke in log4j bekannt geworden: Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online
Betrifft diese Lücke auch den CaaS? Dieser ist bei uns aus dem Internet erreichbar und daher überlegen wir, ob wir diesen abschalten müssen.
Viele Grüß
Robert
Hallo Peter,
in der OnPremise Dokumentation für Administratoren steht folgendes: Auftretende Fehler und Infomeldungen werden dem Loggingsystem „log4j“ übergeben. Über das Framework kann eine Gewichtung der Log-Ausgaben vorgenommen werden.
Version 2021-05.
Ist das nicht der aktuelle Stand?
Viele Grüße
Thorsten
Zero-Day Exploit in log4j: Hier soll es die weiteren Infos geben.
als schnellen Fix kann man ja in der Content Creator Webapp die beiden jars austauschen.
Wäre es nicht eine gute Idee für die letzten FirstSpirit Versionen eine neue cxt-cc.fsm mit aktualisierten jars zu liefern?
Auch wenn nur die log4j-core betroffen sein sollte, würde das den Kunden etwas Ruhe geben.
Die beiden Libs kommen über Spring Boot, enthalten aber nicht die betroffene Klasse "JndiLookup".
Siehe auch: Log4J2 Vulnerability and Spring Boot