Bezeichnung der Schwachstelle
CVE-2021-44228 - log4j Exploit
Stellungnahme
Die Bibliothek log4j wird in keiner aktuellen askDANTE Version benutzt. Ihre Daten und Infrastruktur sind somit von der veröffentlichten Schwachstelle nicht betroffen.
Maßnahmen und Tests
Obwohl wir die betroffene Bibiothek nicht verwenden, haben wir unsere Software und die genutzten Unterprogramme sorgsam untersucht. Dabei wurden keine Schwachstellen gefunden. Zudem haben wir den Angriffsversuch selber gegen einen Test-Server nachgestellt und überwacht. Der Angriff hat nicht zum Erfolg geführt.
Anmerkungen
Sofern Sie einen eigenen askDANTE Server betreiben (On premises / Lizenz-Server), wird die Anwendung askDANTE sehr wahrscheinlich in einem Apache Tomcat betrieben. Der Apache Tomcat benutzt per Default java.util.logging und kein log4j. Sofern Sie jedoch eigene Konfigurationen vorgenommen haben oder weitere Drittanwendungen im Tomcat deployed sind, empfehlen wir Ihnen, den Server und die genutzte Software weiter auf die Schwachstelle zu untersuchen.