In Log4J Version 1.x existieren 2 bekannte Sicherheitslücken: - CVE-2021-4104 (JMSAppender)
- CVE-2019-17571 (Log4J-Socket-Server)
Beide Lücken sind für alle in Auslieferung befindlichen HUP Produkte nicht relevant, da die jeweils kompromittierbaren Komponenten (JMSAppender bzw. Socket-Server) manuell per Konfiguration serverseitig aktiviert werden müssen. Da in keinem unserer Produkte diese optionalen Komponenten aktiv sind, sind somit auch die bekannten Lücken nicht offen. CVE-2019-17571 erfordert zudem Zugriff auf gesonderte Ports des Servers, was idR. allein schon durch die Firewalls blockiert wird. Da der der Funktionsumfang von Log4J 1.x ausreichend für unsere Anwendungsfälle ist, planen wir kurzfristig kein Update dieser Komponente.
|