"Log4j"-Schwachstelle (CVE-2021-44228, CVE-2021-45046): Information für Kunden
Matthias Pigulla · 13. Dezember 2021
Die Warnung wurde mittlerweile auf die höchste Gefährdungsstufe gesetzt. Die Sicherheitswarnung enthält weitere Details zum Problem.
Wir haben die bei uns davon betroffenen Systeme inzwischen auf neue Softwarestände aktualisiert, mit denen das Problem gelöst ist. Die Aktualisierung erfolgte auf bekannte, saubere Systemzustände.
Anzeichen für ein tatsächliches Ausnutzen der Schwachstelle auf unseren Systemen liegen nicht vor. Allerdings hat unser Monitoring-System einige entsprechende "Scans" dokumentiert.
Sollten sich weitere für unsere Kunden relevante Informationen ergeben, werden wir diesen Blog-Eintrag aktualisieren.
Update 17.12.2021
Inzwischen ist eine weiteres Advisory unter der Nummer CVE-2021-45046 publiziert worden: Unter bestimmten Umständen und Konfigurationen waren die Korrekturen, die zur Beseitigung der 1. Schwachstelle veröffentlicht wurden, nicht ausreichend bzw. konnten erneut umgangen werden.
Unsere Systeme sind von dieser zweiten Lücke nicht betroffen.
