log4j-Lücke

Hier können Sie Fragen rund um unsere Produktfamilie CompuDMS (CompuDMS Free, CompuDMS Cloud, CompuDMS Professional) stellen.
Antworten
Timebandit
Beiträge: 2
Registriert: 17 Dez 2021 02:05

log4j-Lücke

Beitrag von Timebandit »

Guten Morgen liebes CompuDMS-Team,

die Berichterstattung über og.g. Sicherheitslücke hat mich veranlasst, meinen Rechner hier auf die Nutzung obiger Java-Library zu testen. Das Ergebnis zeigt, dass im CompuDMS-Server besagte Library 2 mal benutzt wird. Zugegebenermaßen kann ich hier nicht einschätzen, ob dabei eine echte Gefährdung vorliegt.

Vielleicht könnten Sie sich der Sache mal annehmen und schauen ob da was zu tun ist.

Scanner-Output:
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\bin\elasticsearch-sql-cli-7.10.2.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_ :-(
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\lib\log4j-core-2.11.1.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_ :-(

benutzter Scanner:
https://github.com/mergebase/log4j-detector

installiertes Programm:
CompuDMS Prof. free edition 8.1.1.3 unter Windows 10 Pro

Vielen Dank und
beste Grüße nach Köln

Tommy Wendt

KK
Beiträge: 87
Registriert: 06 Jul 2016 11:33

Re: log4j-Lücke

Beitrag von KK »

Lieber Herr Wendt,

haben Sie vielen Dank für Ihre Nachricht. Selbstverständlich haben wir uns mit dem Thema auch bereits beschäftigt und nun auch hier im Forum unter Ankündigungen einen Beitrag dazu veröffentlicht: https://forum.compukoeln.de/viewtopic.php?t=228

Wir hoffen, dieser beantwortet Ihre Fragen und hilft Ihnen und anderen CompuDMS-Usern weiter!?

Viele Grüße
Karen aus dem CompuKöln-Team

Timebandit
Beiträge: 2
Registriert: 17 Dez 2021 02:05

Re: log4j-Lücke

Beitrag von Timebandit »

Hallo Karen,

danke für die Info und die Bemühungen Ihres Teams.
Hab den Parameter gleich eingebaut.

Beste Grüße
Tommy Wendt

Antworten