Dez 13, 2021

Compliance Aspekte ist nicht von der Log4Shell-Schwachstelle betroffen

CVE-2021-44228 oder Log4Shell ist eine kritische Sicherheitslücke bei der Remotecodeausführung in einer modernen Java-Bibliothek, die in Millionen von Anwendungen als Teil ihrer Protokollierungsinfrastruktur verwendet wird. Diese Bibliothek ist der Kern fast jeder Java-Anwendung, die in den letzten Jahren erstellt wurde.

Sicherheitsteams bemühen sich, die Folgen einer kritischen Schwachstelle einzudämmen, die Log4Shell am 9. Dezember 2021 in einer Java-Protokollierungsbibliothek Apache Log4j entdeckt hat, die von mehreren Anwendungen und Diensten verwendet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine bestehende Cyber-Sicherheitswarnung ab sofort auf die Warnstufe Rot gesetzt. 

Ist Compliance Aspekte betroffen?

Unser Sicherheitsteam hat umgehend die vorläufige Analyse des Log4j-Problems durchgeführt, um Sie über die ersten Ergebnisse zu informieren. Die Schwachstelle Log4Shell beeinträchtigt NICHT die Sicherheit und den Betrieb der Compliance Aspekte. 

Die Sicherheitsanfälligkeit (CVE-2021-44228) betrifft die Anwendungen, die das Protokollierungssystem Log4j Version 2 verwenden.

Als Protokollierungssystem verwendet Compliance Aspekte die SLF4J-Fassade mit dem Logback als Implementierung.

Das Logback bietet KEINEN Suchmechanismus auf der Nachrichtenebene. Daher gilt es in Bezug auf CVE-2021-44228 als sicher.

Log4j in Apache Tomcat 

Die interne Protokollierung für Apache Tomcat verwendet standardmäßig JULI (java.util.logging framework) für die Aufzeichnung seiner Standardprotokolle

Tomcat ermöglicht den Benutzern jedoch, die Protokollierung mit log4j zu konfigurieren. Wenn Sie KEINE zusätzlichen Anpassungen bezüglich der Protokollierung mit log4j vorgenommen haben, sind Sie auf der sicheren Seite. 

Wir bleiben am Puls bei der Sicherheitswarnung und informieren Sie über alle Updates zur aktuellen Situation. 

Kostenfreies Konto

Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten

    Welche Standards interessieren Sie?

    Mit dem Setzen des Hakens akzeptiere ich die Datenschutzrichtlinien und stimme zu, weitere Informationen zu meiner Anfrage und zum Produkt "Compliance Aspekte" zu erhalten. Ich verstehe, dass ich die Compliance Aspekte Updates jederzeit abbestellen kann.

    Professional

    Effective and easy-to-use IT security management system based on the latest standards and regulations — from planning and establishing the security concept to certification.