Wir sind uns der Sicherheitsanfälligkeit bewusst und können Ihnen mitteilen, dass dieses Problem NICHT die Mail & Deploy-Software oder -Dienste betrifft.
Eine neu aufgedeckte Schwachstelle, die Apache Log4j 2-Versionen 2.0 bis 2.14.1 betrifft, wurde am 9. Dezember 2021 auf GitHub offengelegt und als CVE-2021-44228 mit der höchsten Risikobewertung registriert. Log4j ist ein Java-basiertes Open-Source-Protokollierungsdienstprogramm, das häufig von Unternehmensanwendungen und Cloud-Diensten verwendet wird. Durch Ausnutzung dieser Sicherheitsanfälligkeit kann ein Remote-Angreifer die Kontrolle über das betroffene System übernehmen.
Diejenigen, die Bedenken bezüglich der Sicherheitslücke haben, können folgende proaktive Maßnahmen ergreifen, um das von CVE-2021-44228 ausgehende Risiko zu reduzieren:
- Aktualisieren Sie auf Apache og4j-2.1.50.rc2, da alle früheren 2.x-Versionen anfällig sind.
- Blockieren Sie für Log4j Version 2.10.0 oder höher, dass JNDI Anfragen an nicht vertrauenswürdige Server stellt, indem Sie den Konfigurationswert log4j2.formatMsgNoLookups auf „TRUE“ setzen, um LDAP und andere Abfragen zu verhindern.
- Setzen Sie sowohl com.sun.jndi.rmi.object.trustURLCodebase als auch com.sun.jndi.cosnaming.object.trustURLCodebase auf „FALSE“, um Remote Code Execution-Angriffe in Java 8u121 zu verhindern.
Sollten Sie weitere Fragen haben, kontaktieren Sie uns bitte über support@mail-and-deploy.com