BSI: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)

Die Sicherheitslücke im Java-Logging log4j sorgt aktuell für Schlagzeilen und Verunsicherung. Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.

Nach bekannt werden der ersten Meldungen zu dieser Sicherheitslücke, hat Mediaform eine Evaluierung der möglichen Bedrohung zu den produktiven Softwarelösungen (PraxiKett Designer, fontio und QM-Suite) veranlasst. Nach jetzigem Kenntnisstand verwenden Mediaform Produkte keine von der Sicherheitslücke (nur enthalten in Log4J-Version 2.0-beta9 bis Version 2.14.1) betroffenen Versionen. Darüber hinaus verwenden die von Mediaform entwickelten Lösungen nicht das vulnerable Paket „log4j-core“.

Bei der log4j Version 1.xx existiert die Möglichkeit Fremdcode in das System einzuschleusen. Die dafür notwendigen Voraussetzungen sind: 1. Die Verwendung eines „JMSAppender“, der von einer konfigurierten URL über JNDI externe Daten lädt. 2. Eine Konfiguration die eingebracht/manipuliert wurde. Mediaform verwendet weder in der QM-Suite noch im PraxiKett Designer einen „JMSAppender“, infolge dessen können keine externe Daten über JNDI eingebracht werden.

Unsere in C# entwickelten Anwendungen wie ScanTools, OrderManagament, Beleggenerator, ArchiMedis und LabelProfi sind von der Sicherheitslücke im Java-Logging log4j ebenfalls nicht betroffen.   

Weitere Informationen finden Sie beim BSI unter https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html