Hinweise zur Log4j Lücke

Sehr geehrte Kunden,

am 10.12.2021 ist eine kritische Java-Sicherheitslücke in Kombination mit der weitverbreiteten Logging-Bibliothek log4j bekannt geworden. Diese Lücke ist mit einer CVSS-Einstufung 10 (von 10 möglichen Punkten, wobei 10 die gravierendste darstellt) eingestuft worden.

Die vollständige Veröffentlichung finden Sie u.a. hier: Heise.de | Kritische Zero Day Lücke in log4j gefährdet zahlreiche Server und Apps

 

Eine sofortige Analyse aller veröffentlichten FE2 Versionen rückwirkend bis inkl. 2.22.201 hat ergeben, dass FE2 nicht betroffen ist.

 

Ältere Versionen wurden nicht untersucht, wir empfehlen daher zeitnah ein Update zu installieren (siehe nachfolgender Text) und bei Freigabe ins Internet, diese Freigabe temporär aufzuheben. Generell sollten nur aktuelle, gepatchte Versionen über Webzugriff verfügen. Wir übernehmen keine Verantwortung für veraltete Versionen.

Die AM4 Versionen 4.13 und 4.15 haben wir ebenfalls analysiert. Diese verwenden die log4j Bibliothek nicht und sind daher nicht betroffen.

Hintergrund

Wir verwenden für Logausgaben eine andere Bibliothek namens „logback“. Diese ist von der Schwachstelle nicht betroffen. Log4j wird zwar von anderen, von uns verwendeten Bibliotheken, referenziert, jedoch nicht für Logausgaben verwendet. Zudem ist die referenzierte Version <2.0 und damit nicht betroffen. Wir haben jedoch für die Zukunft vorgesorgt und die referenzierte Version von log4j durch die offizielle, nicht verwundbare Version ersetzt. Zukünftige Releases werden diese zusätzliche Sicherheitsmaßnahme enthalten.

Es besteht kein Handlungsbedarf für Versionen >= 2.22.201, dennoch empfehlen wir allen Kunden eine Aktualisierung auf die aktuelle Release Version 2.23.2411 bzw. die in Kürze erscheinende Version 2.24 durchzuführen.

Den Download finden Sie wie gewohnt unter https://fe2.cloud