Kritische Log4j-Schwachstellen

Liebe Kunden und Partner, 

wir möchten Sie hiermit darüber informieren, dass in Bezug auf die bekannt gewordenen kritischen Log4j-Schwachstellen kein Risiko bei den von uns ausgelieferten Systemen besteht. Das ist das Ergebnis einer umgehenden und intensiven Prüfung.  

Welche ist die aktuelle Gefährdungslage?   

Nach Einschätzung des BSI führt die kürzlich entdeckte kritische Schwachstelle (Log4Shell) in der Java-Bibliothek Log4j zu einer extrem kritischen Bedrohungslage. Das BSI hat daher eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht.

Prüfungsergebnis zur Schwachstelle CVE-2021-44228 

Log4j ist eine Protokollierungsbibliothek, die wir in unseren Java-Anwendungen mitliefern. Die Schwachstelle CVE-2021-44228 in Log4j tritt dabei ausschließlich in den Versionen 2.0 bis 2.14.1 auf. Wir setzen aktuell jedoch ausnahmslos die Versionen 1.2.12 bis 1.2.17 ein. Die von uns ausgelieferten Systeme sind demnach von dieser Schwachstelle nicht betroffen. 

Prüfungsergebnis zur Schwachstelle CVE-2021-4104  

Es ist noch ein zweites, ähnlich gelagertes Problem bekannt geworden. Die Firma Red Hat veröffentlichte kürzlich eine mittelschwere Schwachstelle in Log4J CVE-2021-4104. Dieses Problem betrifft grundsätzlich die von uns verwendeten Versionen. Allerdings setzt dies die Verwendung einer bestimmten Klasse voraus: org.apache.log4j.net.JMSAppender. Diese Klasse wird von der qualitype GmbH nicht eingesetzt. Zudem funktioniert diese Klasse nicht mehr im aktuellen Anwendungsserver Wildfly (früher JBoss). Es kann damit ausgeschlossen werden, dass die von uns gelieferten Systeme diesen Fehler enthalten. 

Sollten weitere Schwachstellen in Zusammenhang mit Log4J bekannt werden, informieren wir Sie selbstverständlich umgehend über das Risiko bei den von uns ausgelieferten Systemen. Im Interesse unserer Kunden legen wir höchsten Wert auf die Verlässlichkeit unserer Lösungen.

Sollten Sie weitere Fragen haben, zögern Sie bitte nicht, uns zu kontaktieren.