Die Software-Sicherheit und der Schutz von personenbezogenen und geschäftlichen Daten sind wichtigste Fragen moderner Welt.
Was ist Log4j?
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Log4j ist ein Teil von Apache Logging Project.Was ist los?
Am 9. Dezember 2021 wurde über kritische Schwachstelle von Log4j – CVE-2021-44228 – bekannt. Sie erlaubt möglicherweise beliebigen Code auszuführen, was zum Datenverlust führen kann. Die Schwachstelle ist verschiedenartige Projekte: von iCloud bis Steam betroffen.
Wie es die Stimulsoft-Kunden betrifft?
Das Problem, das mit Log4j-Schwachstelle verbunden ist, kann nur die Benutzer von einzelner unsere Software – Stimulsoft Reports.Java betreffen. Aber kein unser Produkt verwendet die Log4j-Bibliothek direkt.Für die Arbeit mit SVG-Bildern verwenden wir die Bibliothek Apache™ Batik SVG Toolkit, die das Dienstprogramm commons-logging verwendet, das wiederum mit Log4j interagieren kann (wenn Ihr System dafür konfiguriert ist).
Was müssen Sie tun?
Das Problem mit Schwachstelle ist schon in Log4j 2.12.2 und Log4j 2.17.0 behoben. Wenn Sie unter Java 8 (oder später) arbeiten, aktualisieren Sie Log4j bis zur Version 2.17.0. Wenn Sie unter Java 7 arbeiten, aktualisieren Sie Log4j bis zur Version 2.12.2.Ansonsten, entfernen Sie JndiLookup-Klasse aus classpath:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Merken Sie, dass diese Schwachstelle nur auf log4j-core JAR-Datei auswirkt, und betrifft nicht die Anwendungen, die nur log4j-api JAR-Datei ohne log4j-core JAR-Datei verwenden.