-
- 14. Dezember 2021 um 10:18 Uhr
Vielen Dank für diesen berechtigten Einwand! Da sollte ich zur Erklärung vielleicht doch etwas weiter ausholen.TRANSCONNECT nutzt eine Vielzahl externer Bibliotheken. Aktuell ist es aber so, dass keine einzige davon Log4j 2.x nutzt. Wir haben aber seit mehreren Jahren für TRANSCONNECT selbst ein Update auf Log4j 2 geplant, das allerdings bisher noch aufgeschoben. Solange das nämlich dazu führen würde, dass wir dann beide Versionen mit ausliefern und gemischt nutzen müssten, würden wir die Anzahl möglicher Angriffsvektoren damit potenziell erstmal nur erhöhen. Die bekannten Schwachstellen von Log4j 1.2.17 sind uns natürlich bewusst, allerdings betreffen diese TRANSCONNECT nicht, da sie nur für bestimmte Konfigurationen ausgenutzt werden können.
Prinzipiell versuchen wir aber schon soweit möglich, alle benutzten Komponenten immer auf dem aktuellsten Stand zu halten. Gleichzeitig prüfen wir auch täglich automatisiert alle genutzten Bibliotheken gegen mehrere CVE-Datenbanken, um Schwachstellen schnellstmöglich zu erkennen. Bei neu erkannten Problemen werden diese einzeln bewertet und münden dann ggf. kurzfristig in ein Update oder spezielle Fixes.
Unter den aktuellen Umständen sehen wir jetzt aber durchaus das Potenzial, dass viele Bibliotheken in naher Zukunft den Umstieg auf Log4j 2 vollziehen werden. Damit eröffnet sich dann für uns die Möglichkeit, die 1er Version komplett zu entfernen und damit auch für TRANSCONNECT selbst ein entsprechendes Update vorzunehmen. Da das wie oben beschrieben zu inkompatiblen Änderungen führen wird, werden wir das dann aller Voraussicht nach im Zuge eines neuen Major-Releases machen.
00