Keine Kategorien vergeben

Log4Shell

Anlass

Aktuelle Log4Shell Sicherheitslücke.

Derzeitige Berwertung der Schwachstellen in BlueSpice

  • BlueSpice free, pro, farm
    • On-Premise ("Barebone") Installationen sind nicht betroffen.
    • Die Docker-Version ist nicht betroffen.

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Einschätzung der Situation für alle BlueSpice Editionen

Erste Einschätzung: BlueSpice verwendet zwar einen Logger in den Webservices, aber wir implementieren nur gegen generische java.util.logging.* Schnittstellen. Die eigentliche Implementierung wird von der Umgebung (=Tomcat Server) bereitgestellt. Ein Update der Umgebung sollte daher ausreichen. Bitte beachten Sie, dass die Tomcat Versionen 8.5 und 9 weiterhin unterstützt werden. Es sollte also keine Notwendigkeit für ein Upgrade bestehen.

Elastic Search: Auch ElasticSearch meldet, dass sie nicht betroffen sind. Also kein Code-Red-Alert, aber wir behalten es im Auge.

Normalerweise sind BlueSpice Webservices so gebunden, dass sie nur auf Verbindungen von localhost hören (keine ausgehenden Verbindungen, z. B. aus dem lokalen Intranet oder sogar dem Internet). Das minimiert das Risiko. Aber natürlich gibt es auch Ausnahmen von dieser Regel, insbesondere bei Multi-Server-Konfigurationen. Es ist auch keine 100%ige Sicherheit.

DrawIO: Einige Kunden haben eine eigene "DrawIO"-Instanz, die auf der Liste der anfälligen Systeme steht.

Potenziell betroffene Komponenten


Docker: Gibt es betroffene Komponenten?


Anhänge

Diskussionen