Kritische Schwachstelle

in Log4j

CVE-2021-44228

Wichtige Informationen zur aktuellen Bedrohungslage

Wir möchten Sie über eine kritische Schwachstelle (CVE-2021-44228) in der weit verbreiteten Java-Bibliothek Log4j (auch bekannt als Log4Shell) und deren Verwendung in unseren Produkten informieren.

Warum ist die Schwachstelle Log4j kritisch?
Nach Angaben verschiedener Netzwerksicherheitsbehörden ist die globale Bedrohungslage äußerst schwerwiegend, da Protokollbibliotheken in Softwareprodukten weit verbreitet sind. Die Schwachstelle wurde am Donnerstag, 9. Dezember 2021, vom Apache Log4j-Projekt veröffentlicht und betrifft die Versionen 2.0 bis 2.14.1. Wenn die Sicherheitsanfälligkeit ausgenutzt wird und das System einen vom Angreifer kontrollierten Zeichenfolgenwert auf dem betroffenen Endpunkt aufzeichnet, kann der Angreifer Code auf dem Server ausführen.

Logo bmc Client Management

BMC Client Management

BMC Clientmanagement ist von der Schwachstelle CVE-2021-44228 betroffen.
Betroffene Version:  21.02.XX  (21.02.00, 21.02.01,21.02.02)

BMC hat am 15.12.2021 einen Fix zu Verfügung gestellt. Sie finden den Fix unter dem folgenden Link:

https://community.bmc.com/s/article/Client-Management-Apache-Log4j-CVE-2021-44228-FAQs

Bei Fragen stehen wir Ihnen gerne zu Verfügung.
E-Mail: support@ck7.de
Telefon: 030 577 1306-99

Logo bmc Footprints

BMC Footprints Version 11.6.xx

BMC Footprints Version 11.6.xx ist von der Schachstelle CVE-2021-44228 nicht betroffen.
Logo bmc Footprints

BMC Footprints Version 20.xx

Footprints 20.xx ist von der Schwachstelle CVE-2021-44228 nicht betroffen.
Footprints nutzt eine ältere Version der Protokollierungsbibliothek (1.2.17). Hier wurden schon standardmäßig die angreifbaren Klasse entfernt.

Logo bmc Track-It!

BMC Track-It! Version 11.x

Track-It 11.4.x ist von der Schwachstelle nicht betroffen. Die Protokollbibliothek log4j wird nicht genutzt.

Logo bmc Track-It!

BMC Track-It! Version 20.x

Track-It 20.xx ist von der Schwachstelle nicht betroffen. Die Protokollbibliothek log4j wird nicht genutzt.

Logo PRTG Network Monitor

PRTG Network Monitor

Paessler PRTG Network Monitor und Paessler PRTG Hosted Monitor (sowie die gesamte unterliegende Infrastruktur) nutzen die Apache Logging Komponente nicht und sind daher nicht betroffen.

Logo PRTG Network Monitor

MATESO Password Safe

Da Password Safe nicht mit Java arbeitet, ist unsere Software von dieser Sicherheitslücke nicht betroffen. Es müssen also keine weiteren Maßnahmen von unseren Kunden ergriffen werden, wenn sie unsere noch unterstützten Versionen (8.10 oder höher) verwenden.

Wir möchten an dieser Stelle anmerken, dass Password Safe noch eine weitere Bibliothek verwendet – Log4js – die für Log4 Java Script steht und nichts mit der Bibliothek Log4j – Log4 Java – zu tun hat. Log4js ist also nicht betroffen und somit nicht sicherheitskritisch.

 

Wer ist betroffen?

Wie bereits erwähnt, ist diese Schwachstelle (jetzt auch als Log4Shell bekannt) sehr verbreitet und Sie sollten im Zweifelsfall davon ausgehen, dass Sie betroffen sind. Im Folgenden finden Sie eine ständig wachsende Liste betroffener Anwendungen.