qualido Server nicht betroffen
Wie Sie vielleicht der Presse entnommen haben, gab es im Dezember 2021 eine kritische Sicherheitslücke in einer weit verbreiteten JAVA-Bibliothek.
Das BSI hat diese Lücke mit der Warnstufe “ROT” versehen, was nur in seltenen Fällen geschieht.
Wir haben die log4j-Problematik natürlich intern sofort nach Bekanntwerden untersucht und können bestätigen, dass wir bzw. Ihr qualido-Server nach aktuellen Erkenntnissen nicht bedroht sind:
- log4j ist zwar Bestandteil einiger Dienste und Tools, die wir nutzen. Allerdings ist keiner dieser Dienste von außen erreichbar.
- Das Logging via „log4j“ wurden von uns schon seit langem in allen verwendeten Diensten deaktiviert
- Wir nutzen Java in einer aktuellen, offensichtlich nicht betroffenen Version
- Wir haben sofort nach Bekanntwerden der Lücke zusätzlich die empfohlene Sicherheitseinstellung -Dlog4j2.formatMsgNoLookups=true in den jvm.options gesetzt
- Wir haben bereits ein Update von log4j auf die gefixte Version 2.15.0 durchgeführt (auch wenn diese weiterhin nicht zum Einsatz kommt)
Sollten Sie weitere Fragen haben, so wenden Sie sich gerne über unseren Support direkt an uns.
