Büro Köln/Bonn:
Kölner Straße 114
D-53840 Troisdorf
Telefon: +49-2241-972900
service@mediata.net
Dienstag, 14. Dezember 2021
Mediata Multisite selbst ist als PHP-basiertes System nicht von der Sicherheitslücke betroffen, gleiches gilt für unsere Cloud-Services und alle dort genutzten Technologien.
Es ist allerdings möglich, dass innerhalb Ihrer IT-Systemlandschaft Services laufen, die potenziell von dieser Sicherheitslücke betroffen sind. Dies gilt beispielsweise für Solr oder ElasticSearch. Für die sehr alte ElasticSearch Version 5 hat der Hersteller bisher keine Entwarnung gegeben. Hier empfehlen wir grundsätzlich ein Update auf eine neuere ElasticSearch-Version.
Der Hersteller von Solr meldet in seinem Advisory, dass er für die Versionen 7.4.0 bis 7.7.3, 8.0.0 bis 8.11.0 eine gebündelte Version der Apache Log4J-Bibliothek verwendet, die für die Sicherheitslücke anfällig ist. Hier sind Maßnahmen um diese Sicherheitslücke für Solr-Server zu verhindern. Apache Solr-Versionen vor 7.4 (d. h. Solr 4, Solr 5, Solr 6 und Solr 7 bis 7.3) verwenden Log4j 1.2.17, das bei Installationen mit nicht standardmäßigen Protokollierungskonfigurationen, die den JMS-Appender enthalten, anfällig sein kann. Hier wird eine Prüfung und Überwachung empfohlen. Die neu erscheinende Apache Solr Version 8.11.1 ist nicht von der Sicherheitslücke betroffen.
Für die sehr alte ElasticSearch Version 5 hat der Hersteller bisher keine Entwarnung gegeben. Wir empfehlen grundsätzlich ein Update auf eine neuere ElasticSearch-Version. Der Hersteller von ElasticSearch meldet weiterhin, dass eine abgeschwächte Variante der Lücke auch in neueren ElasticSearch-Versionen auftreten kann. Sollten Sie ElasticSearch einsetzen, raten wir Ihnen in jedem Fall mit Ihrem Operations-Team oder Hosting-Provider in Kontakt zu treten und abzustimmen, ob ein Update auf die neu erscheinenden Versionen ElasticSearch 6.8.21 oder 7.16.1 für Sie in Frage kommt.
Sollte in der Zwischenzeit bekannt werden, dass weitere häufig mit Mediata Multisitee, eZ Platform oder Ibexa DXP zusammen eingesetzte Services von der Lücke betroffen sind, werden wir Sie zeitnah darüber informieren.