Log4j Sicherheitslücke

Jan. 18, 2022

qualido Server nicht betroffen

Wie Sie vielleicht der Presse entnommen haben, gab es im Dezember 2021 eine kritische Sicherheitslücke in einer weit verbreiteten JAVA-Bibliothek.

Das BSI hat diese Lücke mit der Warnstufe “ROT” versehen, was nur in seltenen Fällen geschieht.

Wir haben die log4j-Problematik natürlich intern sofort nach Bekanntwerden untersucht und können bestätigen, dass wir bzw. Ihr qualido-Server nach aktuellen Erkenntnissen nicht bedroht sind:

  • log4j ist zwar Bestandteil einiger Dienste und Tools, die wir nutzen. Allerdings ist keiner dieser Dienste von außen erreichbar.
  • Das Logging via „log4j“ wurden von uns schon seit langem in allen verwendeten Diensten deaktiviert
  • Wir nutzen Java in einer aktuellen, offensichtlich nicht betroffenen Version
  • Wir haben sofort nach Bekanntwerden der Lücke zusätzlich die empfohlene Sicherheitseinstellung -Dlog4j2.formatMsgNoLookups=true in den jvm.options gesetzt
  • Wir haben bereits ein Update von log4j auf die gefixte Version 2.15.0 durchgeführt (auch wenn diese weiterhin nicht zum Einsatz kommt)

Sollten Sie weitere Fragen haben, so wenden Sie sich gerne über unseren Support direkt an uns.

Weitere News

Ersten QMB-Ausbildungsblock erfolgreich abgeschlossen

Worum ging’s im ersten Block? Wir stiegen tief in die Welt der Qualitäts- und Managementwerkzeuge ein – essentielle Helferlein, um Prozesse effizienter zu gestalten und höchste Standards zu sichern.

Jan. 17, 2025

Neue Version 6.1 des qualido managers® verfügbar

Mit dem Feature-Update 6.1 erweitern wir den qualido manager® um zahlreiche neue Funktionen. Ein besonderer Fokus liegt dabei auf der Personalentwicklung: 
Mit den neuen Bildungsabschnitten und dem Fortbildungskatalog unterstützen wir Sie bei der systematischen...

Nov. 19, 2024