-
RE: Sicherheitshinweis: DocuWare und log4J2 Sicherheitslücke [DW-2021-0001.1]
Hallo Herr Wieland,
laut BSI Veröffentlichung CSW-Nr. 2021-549032-1432, Version 1.4 (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf) sind unter bestimmten Voraussetzungen auch die Versionen 1.x betroffen.
Im Gegenzug ist die allgemein empfohlene Maßnahme des Setzens der Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS erst ab den Versionen 2.10 funktional.
Da beide Punkte aus der BSI Meldung somit für mein Verständnis dem DocuWare Security Advisory zu widersprechen scheinen, würde ich mich um eine Klarstellung seitens DocuWare in Bezug auf OnPrem Systeme mit SOLR freuen.
Hier die Textstellen aus der BSI Veröffentlichung:
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint.
Alternativ kann auch die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt werden. Diese beiden Mitigationsmaßnahmen funktionieren erst ab Log4J Version 2.10.
LG Thomas Hayder
You’re offline. This is a read only version of the page.
