Mediata Communications GmbH

Mediata Communications GmbH

Postanschrift
Postfach 1131, 
D-538421 Troisdorf

Büro Köln/Bonn:
Kölner Straße 83-85
D-53840 Troisdorf

www.mediata.net

Telefon: +49-2241-972900

service@mediata.net

Kontakt

Servicetelefon: +49-2241-972-900

E-Mail: service@mediata.net

Sicherheitshinweis zu Apache Log4J

Dienstag, 14. Dezember 2021

Aktuell gibt es eine Sicherheitslücke im Java-Logging Log4J. Mit dieser Lücke können Angreifer unter Umständen Schadcode auf dem betroffenen Server-System ausführen.

Apache log4J Sicherheitsluecke.jpg

Mediata Multisite selbst ist als PHP-basiertes System nicht von der Sicherheitslücke betroffen, gleiches gilt für unsere Cloud-Services und alle dort genutzten Technologien.

Es ist allerdings möglich, dass innerhalb Ihrer IT-Systemlandschaft Services laufen, die potenziell von dieser Sicherheitslücke betroffen sind. Dies gilt beispielsweise für Solr oder ElasticSearch. Für die sehr alte ElasticSearch Version 5 hat der Hersteller bisher keine Entwarnung gegeben. Hier empfehlen wir grundsätzlich ein Update auf eine neuere ElasticSearch-Version.

Der Hersteller von Solr meldet in seinem Advisory, dass er für die Versionen 7.4.0 bis 7.7.3, 8.0.0 bis 8.11.0 eine gebündelte Version der Apache Log4J-Bibliothek verwendet, die für die Sicherheitslücke anfällig ist. Hier sind Maßnahmen um diese Sicherheitslücke für Solr-Server zu verhindern. Apache Solr-Versionen vor 7.4 (d. h. Solr 4, Solr 5, Solr 6 und Solr 7 bis 7.3) verwenden Log4j 1.2.17, das bei Installationen mit nicht standardmäßigen Protokollierungskonfigurationen, die den JMS-Appender enthalten, anfällig sein kann. Hier wird eine Prüfung und Überwachung empfohlen. Die neu erscheinende Apache Solr Version 8.11.1 ist nicht von der Sicherheitslücke betroffen.

Für die sehr alte ElasticSearch Version 5 hat der Hersteller bisher keine Entwarnung gegeben. Wir empfehlen grundsätzlich ein Update auf eine neuere ElasticSearch-Version. Der Hersteller von ElasticSearch meldet weiterhin, dass eine abgeschwächte Variante der Lücke auch in neueren ElasticSearch-Versionen auftreten kann. Sollten Sie ElasticSearch einsetzen, raten wir Ihnen in jedem Fall mit Ihrem Operations-Team oder Hosting-Provider in Kontakt zu treten und abzustimmen, ob ein Update auf die neu erscheinenden Versionen ElasticSearch 6.8.21 oder 7.16.1 für Sie in Frage kommt.

Sollte in der Zwischenzeit bekannt werden, dass weitere häufig mit Mediata Multisitee, eZ Platform oder Ibexa DXP zusammen eingesetzte Services von der Lücke betroffen sind, werden wir Sie zeitnah darüber informieren.