ELOprofessional - Handlungsempfehlung: Kritische Schwachstelle in Log4j
Eine kürzlich bekannt gewordene Sicherheitslücke in der Java-Bibliothek Log4j gefährdet weltweit Millionen Onlineanwendungen. Die Schwachstelle CVE-2021-44228 für die Protokollierung von Ereignissen kann zur Remote-Ausführung von Code durch Dritte führen.Von ELO entwickelte Server-Dienste, die u. a. unsere öffentliche API bereitstellen und potenziell im Internet verfügbar sind, setzen Log4j in der Version 2 nicht ein und sind somit nicht betroffen. Leider ist jedoch die aktuelle ElasticSearch-Version (ab ELO 10), der ELO Java Client (ab ELO 10) sowie ELO BLP in Version 5.2 potenziell betroffen.Sicherheitsexperten weltweit arbeiten gerade mit Hochdruck an der Analyse. Wir empfehlen daher in jedem Fall, auf die von uns bereitgestellten, aktuellen Versionen zu aktualisieren und unsere Handlungsempfehlungen, die auch Ihrem Business Partner vorliegen, umzusetzen.
Handlungsempfehlung
(Download)
Die meisten ELO Module, bspw. ELO Indexserver, ELO WF oder der ELO Web Client setzen keine log4j2-Versionen ein und sind unabhängig der eingesetzten Java Version nicht betroffen.
Zudem möchten wir Sie darauf hinweisen, dass wir zum jetzigen Zeitpunkt davon ausgehen, dass die Schwachstelle nur von authentifizierten ELO-Benutzern im System ausgenutzt und somit nicht von extern darauf zugegriffen werden kann.
Nichtsdestotrotz empfehlen wir Ihnen, alle angesprochenen Punkte umzusetzen.
Wir unterstützen Sie dabei selbstverständlich. Nehmen Sie Kontakt mit uns auf (elosupport@msoft.de | Tel. 05421 959 170).
Bitte beachten Sie, dass wir durch diese aktuelle Thematik ein vermehrtes Anrufaufkommen in unserer Hotline haben. Wir möchten Sie daher um Verständnis bitten, wenn Sie nicht direkt durchkommen oder länger auf einen Rückruf warten müssen.
Zudem möchten wir Sie darauf hinweisen, dass wir zum jetzigen Zeitpunkt davon ausgehen, dass die Schwachstelle nur von authentifizierten ELO-Benutzern im System ausgenutzt und somit nicht von extern darauf zugegriffen werden kann.