Wir haben Ihre Kontaktanfrage erhalten
und antworten Ihnen so schnell wie möglich.
Schließen
Bitte füllen Sie das Formular richtig aus.
Zurück
Das Formular konnte nicht abgesendet werden.
Schließen
Informationen zur Log4j-Sicherheitslücke
Montag, 13. Dezember 2021
### Letztes Update 10.02.2022 ### . Wir informieren in diesem Blogpost kontinuierlich über aktuelle, relevante Entwicklungen im Zusammenhang mit der Log4j-Sicherheitslücke. Bitte leeren Sie Ihren Browsercache, um immer die aktuellsten Inhalte angezeigt zu bekommen. Sie erreichen diese Seite über den Kurzlink www.contens.de/log4j
Seit Freitag, 10.12.2021 wird vermehrt über die Log4j-Sicherheitslücke berichtet, u.a. vom Bundesamt für Sicherheit in der Informationstechnik BSI (hier und hier (PDF)), auf Heise.de (hier und hier) und Spiegel.de (hier). Wir haben erste Informationen zu CONTENS, Lucee, Adobe ColdFusion, Apache und Elastic für Sie zusammengestellt.
In Bezug auf Technologien, die bei CONTENS verwendet werden, können wir aktuell folgende Informationen bereitstellen:
CONTENS
Die Content Management Lösung CONTENS ist selbst von der log4j-Sicherheitslücke nicht betroffen. Betroffen sind Java-Anwendungen, die log4j einsetzen.
Lucee
Nach Aussage des Lucee-Teams ist Lucee nicht betroffen, da eine ältere Log4j-Version verwendet wird:
Update, 20.12.2021: Bitte beachten Sie, dass die am 17.12.2021 veröffentlichten Updates von Adobe ColdFusion 2018 und 2021 derzeit noch getestet werden und noch nicht von CONTENS freigegeben sind.
------------
Update, 17.12.2021: Adobe hat Updates für ColdFusion (2021, 2018) veröffentlicht und empfiehlt deren Einsatz.
Darin wird ein Patch für die Versionen 2021 und 2018 zum 17.12.2021 angekündigt. Außerdem beschreibt Adobe Empfehlungen für einen Workaround bis zur Veröffentlichung des Patches.
------------
Eine offizielle Aussage von Adobe liegt zum Zeitpunkt dieses Posts noch nicht vor. Nach ersten Einschätzungen könnten Adobe ColdFusion 2018 und Adobe ColdFusion 2021 betroffen sein. Weitere Informationen finden Sie hier:
Update, 15.12.2021: Apache hat heute gemeldet, dass das JVM Argument "formatMsgNoLookups" nicht mehr als ausreichend in Bezug auf die Sicherheitslücke Log4j angesehen wird.
Der Netzwerkspezialist paloalto networks informiert über JAVA-basierte Anwendungen, die nach seiner Einschätzung von Log4j betroffen sind, unter anderem Apache Solr, ElasticSearch, Logstash:
Es wird empfohlen, die Updateseiten der Hersteller zu beobachten und bereitgestellte Hotfixes oder Security Updates zeitnah nach dem Release einzuspielen.
Update, 15.12.2021: Apache hat heute gemeldet, dass das JVM Argument "formatMsgNoLookups" nicht mehr als ausreichend in Bezug auf die Sicherheitslücke Log4j angesehen wird.
Sie haben Cookies akzeptiert
Sie haben Cookies abgelehnt
Diese Website verwendet Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie unter www.contens.de/datenschutz. Für eine optimale Nutzung unserer Website wählen Sie bitte “Akzeptieren”.