Was ist passiert?
Wie sie gegebenenfalls den Medien bereits entnommen haben, wurde am 09.12.2021 eine schwerwiegende Sicherheitslücke in der sehr weit verbreiteten Bibliothek “log4j” entdeckt (detaillierte Informationen vom Bundesamt für Sicherheit in der Informationstechnik dazu finden Sie >> hier). Hierbei handelt es sich um eine “0-Day Lücke”, diese wird also bereits aktiv ausgenutzt.
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
So haben wir reagiert
Da wir bei scireum großen Wert auf Sicherheit legen, haben wir die Problematik umgehend untersucht und konnten bereits ausschließen, dass SellSite, MEMOIO und DataHive von der Sicherheitslücke betroffen sind.
Weiterhin haben wir als zusätzliche Maßnahme alle nachgelagerten Systeme (insbesondere Elasticsearch) untersucht und beschlossen hier eine Anpassung an der Konfiguration vorzunehmen. Dies ist eine reine Vorsichtsmaßnahme, die Systeme gelten auch in der aktuell laufenden Variante als sicher.
Bei OXOMI arbeiten wir aktuell mit Hochdruck daran, jedes Sicherheitsrisiko auszuschließen. Wir werden dazu morgen (14.12.) hier ein Update veröffentlichen.
Update 14.12.: Wir haben auch bei OXOMI weitere Vorsichtsmaßnahmen getroffen und können Ihnen versichern, dass OXOMI absolut sicher ist und bleibt.
Update 16.12.: Ebenso wurden die notwendigen Vorkehrungen gegen „CVE-2021-45046“ (auch „die 2. log4j-Lücke“) getroffen.
Für Sie besteht kein Handlungsbedarf, sicherheitskritische Updates werden von scireum automatisch auf alle Test- und Produktivsysteme aufgespielt.
Wenn Sie Fragen dazu haben, kommen Sie gerne auf uns zu, per Telefon (+49 (0)7151 90316-10) oder MEMOIO-Chat:
