Zuletzt bearbeitet vor 2 Jahren
von Margit Link-Rodrigue

Log4Shell

Version vom 15. Dezember 2021, 12:02 Uhr von Margit Link-Rodrigue (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ ==Anlass== Aktuelle log4j Sicherheitslücke. *[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CF…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Anlass

Aktuelle log4j Sicherheitslücke.

Derzeitige Berwertung der Schwachstellen in BlueSpice

  • BlueSpice free, pro, farm
    • On-Premise Installationen sind nicht betroffen.
    • Die Docker-Version ist nicht betroffen.
  • BlueSpice Cloud ist nicht betroffen.

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Einschätzung der Situation für alle BlueSpice Editionen

Geprüfte Komponenten in BlueSpice

  • ElasticSearch => ElasticSearch meldet, dass sie nicht betroffen sind: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 Kein Code-Red-Alert, aber wir behalten es im Auge. => nicht anfällig
  • Java-Server
    • Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
    • Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
  • Java Webservices
    • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfällig
    • VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht anfällig
    • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfällig
  • Draw.io meldet, dass die Anwendung nicht betroffen ist: https://twitter.com/drawio/status/1470061320066277382 => nicht anfällig

Geprüfte Komponenten im Docker-Image

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig



Feedback zur Dokumentation ist im Community-Forum möglich.