Security Update: Auswirkungen von CVE-2021-44228 auf tenfold-Produkte

Beschreibung von CVE-2021-44228

Am 9. Dezember 2021 wurde die Zero-Day-Schwachstelle CVE-2021-44228, auch bekannt als Log4Shell, veröffentlicht. Die Schwachstelle ermöglicht eine Remote-Ausführung durch Protokolldaten, die eine mit “${}” formatierte Zeichenkette verwenden. Diese Zeichenkette führt zu einem Lookup, der eine Datei von einem entfernten Speicherort abruft und ausführt. Wird die Schwachstelle ausgelöst, so kann schadhafter Code heruntergeladen und ausgeführt werden. Ein erstes Proof of Concept zur Ausnutzung dieser Schwachstelle wurde am 9. Dezember 2021 veröffentlicht. Es wurden bereits weltweite, groß angelegte Scanning-Aktivitäten über die Schwachstelle beobachtet. (Details)

Betroffene log4j Versionen

CVE-2021-44228 betrifft die log4j-Versionen 2.14.1 und niedriger. In log4j Version 2.15.0 wurde das Verhalten standardmäßig entfernt.

Auswirkungen auf tenfold-Produkte

Die jüngste Analyse unserer Sicherheitsexperten zeigt, dass der tenfold Application Server nicht von der Schwachstelle betroffen ist.

tenfold basiert auf dem WildFly Application Server und verwendet die jboss-logmanager-Funktion zur Anwendungsprotokollierung. Diese Komponente ist nicht abhängig von der Bibliothek org.apache.logging.log4j:log4j-core und daher auch nicht von CVE-2021-44228 betroffen (offizielle Erklärung).

Was geschieht als nächstes?

Unsere Sicherheitsexperten verfolgen die Situation wachsamen Auges und werden, falls nötig, angemessen reagieren. Wir empfehlen, immer auf die neueste Softwareversion zu aktualisieren, um Ihre Umgebung effektiv vor Sicherheitslücken zu schützen.

Sollten Sie dennoch noch Fragen zu diesem Statement haben, zögern Sie nicht uns zu kontaktieren unter: support@tenfold-security.com

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.