Die kürzlich bekannt gewordene Sicherheitslücke in der Java Logging Bibliothek log4j unter dem Namen "Log4Shell" (CVE-2021-44228, BSI, NVD) wird als kritisch eingestuft. Sie erlaubt Angreifern, vereinfacht gesagt, durch Erzwingen einer schadhaften Logmeldung, Code auf dem Serversystem auszuführen.
Nach erster Analyse ist unser Software FACTScience nicht akut betroffen.
Wir setzen die verwundbare Bibliothek nicht ein. Sie ist in 3 Anwendungsteilen als indirekte Abhängigkeit enthalten, wird aber nicht verwendet, sodass eine Verwundbarkeit des Gesamtsystems als sehr unwahrscheinlich einzustufen ist. Nichtsdestotrotz werden sicherheitshalber mit dem heutigen Tag aktualisierte Versionen, die die betroffenen Klassen gar nicht beinhalten, bereitgestellt.
Weitere Einzelheiten zum Thema erhalten Sie über unsere Kundenbetreuung.