Kritische Schwachstelle
in Log4j
CVE-2021-44228
Wichtige Informationen zur aktuellen Bedrohungslage
Wir möchten Sie über eine kritische Schwachstelle (CVE-2021-44228) in der weit verbreiteten Java-Bibliothek Log4j (auch bekannt als Log4Shell) und deren Verwendung in unseren Produkten informieren.
Warum ist die Schwachstelle Log4j kritisch?
Nach Angaben verschiedener Netzwerksicherheitsbehörden ist die globale Bedrohungslage äußerst schwerwiegend, da Protokollbibliotheken in Softwareprodukten weit verbreitet sind. Die Schwachstelle wurde am Donnerstag, 9. Dezember 2021, vom Apache Log4j-Projekt veröffentlicht und betrifft die Versionen 2.0 bis 2.14.1. Wenn die Sicherheitsanfälligkeit ausgenutzt wird und das System einen vom Angreifer kontrollierten Zeichenfolgenwert auf dem betroffenen Endpunkt aufzeichnet, kann der Angreifer Code auf dem Server ausführen.
BMC Client Management
BMC Clientmanagement ist von der Schwachstelle CVE-2021-44228 betroffen.
Betroffene Version: 21.02.XX (21.02.00, 21.02.01,21.02.02)
BMC hat am 15.12.2021 einen Fix zu Verfügung gestellt. Sie finden den Fix unter dem folgenden Link:
https://community.bmc.com/s/article/Client-Management-Apache-Log4j-CVE-2021-44228-FAQs
Bei Fragen stehen wir Ihnen gerne zu Verfügung.
E-Mail: support@ck7.de
Telefon: 030 577 1306-99
BMC Footprints Version 11.6.xx
BMC Footprints Version 20.xx
Footprints 20.xx ist von der Schwachstelle CVE-2021-44228 nicht betroffen.
Footprints nutzt eine ältere Version der Protokollierungsbibliothek (1.2.17). Hier wurden schon standardmäßig die angreifbaren Klasse entfernt.
BMC Track-It! Version 11.x
Track-It 11.4.x ist von der Schwachstelle nicht betroffen. Die Protokollbibliothek log4j wird nicht genutzt.
BMC Track-It! Version 20.x
Track-It 20.xx ist von der Schwachstelle nicht betroffen. Die Protokollbibliothek log4j wird nicht genutzt.
PRTG Network Monitor
Paessler PRTG Network Monitor und Paessler PRTG Hosted Monitor (sowie die gesamte unterliegende Infrastruktur) nutzen die Apache Logging Komponente nicht und sind daher nicht betroffen.
MATESO Password Safe
Da Password Safe nicht mit Java arbeitet, ist unsere Software von dieser Sicherheitslücke nicht betroffen. Es müssen also keine weiteren Maßnahmen von unseren Kunden ergriffen werden, wenn sie unsere noch unterstützten Versionen (8.10 oder höher) verwenden.
Wie bereits erwähnt, ist diese Schwachstelle (jetzt auch als Log4Shell bekannt) sehr verbreitet und Sie sollten im Zweifelsfall davon ausgehen, dass Sie betroffen sind. Im Folgenden finden Sie eine ständig wachsende Liste betroffener Anwendungen.