CVE-2021-44228: womodo ist nicht betroffen
An diesem Wochenende ist eine kritische Schwachstelle in Java-basierten Systemen bekannt geworden. Sie wird untern dem Namen CVE-2021-44228 gelistet und betrifft Systeme, die Log4J Version 2 für das schreiben von Log-Dateien verwenden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wertet die Bedrohungslage als "extrem kritisch".
Womodo setzt zwar Log4J für die Protokollierung ein, jedoch nicht in Version 2. Die in womodo eingesetzte Version ist 1.2.17 und womodo ist damit nicht betroffen.
Das BSI bestätigt:
Die Log4J Versionen 1.x sind von der aktuellen Schwachstelle nach aktueller Kenntnis nicht betroffen.
Die Schwachstelle verwenden einen Mechanismus, der als "Lookups" bezeichnet wird. Dieser wurde erst in Version 2 von Log4J eingeführt.
Weitere Information zur Schwachstelle finden Sie auf der BSI Website.
UPDATE:
Inzwischen wurde bekannt, daß unter besonderen Bedingungen auch Log4J in Version 1.x von einem ähnlichen Problem betroffen sein kann. Dies setzt die Verwendung von JMS (Java Messaging) voraus. JMS wird in womodo beim Protokollieren nicht verwendet.