Security Update: Auswirkungen von CVE-2021-44228 auf tenfold-Produkte

Am 9. Dezember 2021 wurde die Zero-Day-Schwachstelle CVE-2021-44228, auch bekannt als Log4Shell, veröffentlicht. Die Schwachstelle ermöglicht eine Remote-Ausführung durch Protokolldaten, die eine mit “${}” formatierte Zeichenkette verwenden. Diese Zeichenkette führt zu einem Lookup, der eine Datei von einem entfernten Speicherort abruft und ausführt. Wird die Schwachstelle ausgelöst, so kann schadhafter Code heruntergeladen und ausgeführt werden. Ein erstes Proof of Concept zur Ausnutzung dieser Schwachstelle wurde am 9. Dezember 2021 veröffentlicht. Es wurden bereits weltweite, groß angelegte Scanning-Aktivitäten über die Schwachstelle beobachtet. (Details)

CVE-2021-44228 betrifft die log4j-Versionen 2.14.1 und niedriger. In log4j Version 2.15.0 wurde das Verhalten standardmäßig entfernt.

Die jüngste Analyse unserer Sicherheitsexperten zeigt, dass der tenfold Application Server nicht von der Schwachstelle betroffen ist.

tenfold basiert auf dem WildFly Application Server und verwendet die jboss-logmanager-Funktion zur Anwendungsprotokollierung. Diese Komponente ist nicht abhängig von der Bibliothek org.apache.logging.log4j:log4j-core und daher auch nicht von CVE-2021-44228 betroffen (offizielle Erklärung).

Unsere Sicherheitsexperten verfolgen die Situation wachsamen Auges und werden, falls nötig, angemessen reagieren. Wir empfehlen, immer auf die neueste Softwareversion zu aktualisieren, um Ihre Umgebung effektiv vor Sicherheitslücken zu schützen.

Sollten Sie dennoch noch Fragen zu diesem Statement haben, zögern Sie nicht uns zu kontaktieren unter: support@tenfold-security.com