Log4j Sicherheitslücken (CVE-2021-44228,CVE-2021-4104,CVE-2021-44832,CVE-2019-17571)

  • Beitrag
Ansicht von 3 Antworten - 9 bis 11 (von insgesamt 11)
  • Antworten
    Markus Franke
    Administrator

    In Log4j 1.x wurde mit CVE-2021-44832 eine weitere kritische Schwachstelle gefunden.

    Im Gegensatz zu CVE-2021-44228 (relevant für Log4j 2.0b – 2.16) ist auch hier analog zu CVE-2021-4104 eine ganz spezielle Logging-Konfiguration der Log4j Bibliothek notwendig damit diese Sicherheitslücke überhaupt ausgenutzt werden kann.

    TRANSCONNECT ist nach aktuellem Stand hier wieder nicht betroffen, da auch diese Konfiguration hier nicht zum Einsatz kommt.

    0
    0
    ufukalver
    Teilnehmer
    Gibt es eventuell schon die Möglichkeit bzw. Aussichten, wann es möglich ist auf das aktuelle Update von Log4j zu patchen?

    Bei anderen Anwendungen wo die Version noch nicht gepatcht werden könnte, haben wir auch andere Maßnahmen ergriffen, wie die betroffene Klasse zu entfernen (JndiLookup).

    @Herr Rehn: Ist das auch in der Version log4j-1.2.17 eine Möglichkeit oder wurde sie sogar schon in der Version, die Sie bereits zum ersetzen geliefert haben entfernt worden?

    Beste Grüße aus Hannover

    Emre Alver

    0
    0
    Die Log4J Bibliothek 1.x haben wir in Version 2.3.4 und 2.3.5 mit Build 15820 gepatcht. Die vulnerablen Klassen sind dort jetzt nicht mehr enthalten.

    Ein Update auf Log4J 2.x steht bei uns im Backlog, ist aber aktuell noch nicht konkret terminiert.

     

    Ihr TRANSCONECT-Team

    0
    0
Ansicht von 3 Antworten - 9 bis 11 (von insgesamt 11)
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.