Sicherheitslücke in der Protokollierungsbibliothek Log4j2

  • Aktuelles

https://www.heise.de/thema/Log4j

Jeder, der eine Java-Anwendung verwaltet, die Log4j2 verwendet, sollte nach Möglichkeit sofort auf die aktuellste Version 2.16.0 aktualisieren und/oder sicherstellen, dass JNDI-Lookups deaktiviert sind, indem er das JVM-Flag „log4j2.formatMsgNoLookups“ auf „true“ setzt, um die Schwachstelle zu mildern. JDK-Versionen größer als 6u11, 7u201, 8u191 und 11.0.1 sind beispielsweise nicht vom LDAP-Angriffsvektor (einer von vielen Angriffsvektoren) betroffen, könnten aber dennoch durch das Laden von In-App-Klassen angegriffen werden.

Uns bekannte NICHT betroffene Produkte:

IServ:  https://www.iserv.de/log4j-sicherheitsluecke-iserv-ist-sicher

Securepoint: https://www.securepoint.de/news/details/sicherheitsluecke-log4j-securepoint-loesungen-nicht-betroffen.html

Lancom: https://twitter.com/lancom_systems/status/1470784973355597828

Uns bekannte betroffene Produkte (mit Links zur Abhilfe):

PaedML: https://www.lmz-bw.de/log4shell-sicherheitsluecke/

VMWare: https://kb.vmware.com/s/article/87068

APC: wenn Sie eine USV mit Network Shutdown Agent (PCNS) verwenden https://www.se.com/ww/en/download/document/SESB-2021-347-01/