log4j-Lücke
Verfasst: 17 Dez 2021 02:20
Guten Morgen liebes CompuDMS-Team,
die Berichterstattung über og.g. Sicherheitslücke hat mich veranlasst, meinen Rechner hier auf die Nutzung obiger Java-Library zu testen. Das Ergebnis zeigt, dass im CompuDMS-Server besagte Library 2 mal benutzt wird. Zugegebenermaßen kann ich hier nicht einschätzen, ob dabei eine echte Gefährdung vorliegt.
Vielleicht könnten Sie sich der Sache mal annehmen und schauen ob da was zu tun ist.
Scanner-Output:
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\bin\elasticsearch-sql-cli-7.10.2.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\lib\log4j-core-2.11.1.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_
benutzter Scanner:
https://github.com/mergebase/log4j-detector
installiertes Programm:
CompuDMS Prof. free edition 8.1.1.3 unter Windows 10 Pro
Vielen Dank und
beste Grüße nach Köln
Tommy Wendt
die Berichterstattung über og.g. Sicherheitslücke hat mich veranlasst, meinen Rechner hier auf die Nutzung obiger Java-Library zu testen. Das Ergebnis zeigt, dass im CompuDMS-Server besagte Library 2 mal benutzt wird. Zugegebenermaßen kann ich hier nicht einschätzen, ob dabei eine echte Gefährdung vorliegt.
Vielleicht könnten Sie sich der Sache mal annehmen und schauen ob da was zu tun ist.
Scanner-Output:
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\bin\elasticsearch-sql-cli-7.10.2.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_
C:\Program Files\CompuDMS Server\8.1.1.3\ElasticSearch\lib\log4j-core-2.11.1.jar contains Log4J-2.x >= 2.10.0 _VULNERABLE_
benutzter Scanner:
https://github.com/mergebase/log4j-detector
installiertes Programm:
CompuDMS Prof. free edition 8.1.1.3 unter Windows 10 Pro
Vielen Dank und
beste Grüße nach Köln
Tommy Wendt