Compliance Aspekte ist nicht von der Log4Shell-Schwachstelle betroffen
Sicherheitsteams bemühen sich, die Folgen einer kritischen Schwachstelle einzudämmen, die Log4Shell am 9. Dezember 2021 in einer Java-Protokollierungsbibliothek Apache Log4j entdeckt hat, die von mehreren Anwendungen und Diensten verwendet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine bestehende Cyber-Sicherheitswarnung ab sofort auf die Warnstufe Rot gesetzt.
Ist Compliance Aspekte betroffen?
Unser Sicherheitsteam hat umgehend die vorläufige Analyse des Log4j-Problems durchgeführt, um Sie über die ersten Ergebnisse zu informieren. Die Schwachstelle Log4Shell beeinträchtigt NICHT die Sicherheit und den Betrieb der Compliance Aspekte.
Die Sicherheitsanfälligkeit (CVE-2021-44228) betrifft die Anwendungen, die das Protokollierungssystem Log4j Version 2 verwenden.
Als Protokollierungssystem verwendet Compliance Aspekte die SLF4J-Fassade mit dem Logback als Implementierung.
Das Logback bietet KEINEN Suchmechanismus auf der Nachrichtenebene. Daher gilt es in Bezug auf CVE-2021-44228 als sicher.
Log4j in Apache Tomcat
Die interne Protokollierung für Apache Tomcat verwendet standardmäßig JULI (java.util.logging framework) für die Aufzeichnung seiner Standardprotokolle.
Tomcat ermöglicht den Benutzern jedoch, die Protokollierung mit log4j zu konfigurieren. Wenn Sie KEINE zusätzlichen Anpassungen bezüglich der Protokollierung mit log4j vorgenommen haben, sind Sie auf der sicheren Seite.
Wir bleiben am Puls bei der Sicherheitswarnung und informieren Sie über alle Updates zur aktuellen Situation.
Kostenfreies Konto
Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten