Log4j Schwachstelle
Am 2021-12-09 wurde eine Schwachstelle in Apache Log4j (einem Protokollierungstool, das in vielen Java-basierten Anwendungen verwendet wird) bekannt, die entfernten, nicht authentifizierten Angreifern die Ausführung von Code auf anfälligen Systemen ermöglichen könnte. Die Sicherheitslücke wird als CVE-2021-44228 [1] geführt und ist auch als „Log4Shell“ bekannt. Am 14.12.2021 wurde eine weitere Denial-of-Service-Schwachstelle (CVE-2021-45046 [2]) veröffentlicht, die dazu führte, dass die anfänglichen Abhilfemaßnahmen in Version 2.15.0 unter bestimmten Nicht-Standardkonfigurationen unvollständig waren. Die Log4j-Versionen 2.16.0 und 2.12.2 sollen beide Sicherheitslücken beheben.
Die Sicherheitsexperten von Localyzer haben sofort alle Produkte und Dienste analysiert, um festzustellen, ob unsere Lösungen betroffen sind.
Zusammenfassung: Die Online-Marketing-Plattform von Localyzer ist nicht betroffen, und es wurde kein Exploit entdeckt.
Unsere SaaS-Lösung basiert auf PHP, Python und Javascript. In einigen wenigen Fällen verwenden wir das Java-basierte Talend Open Studio. Diese Software verwendet Log4j – allerdings in einer nicht angreifbaren Version/Konfiguration von Log4j. Wir verwenden Redis, MariaDB und PostgreSQL/PostGis Datenbanken. Keine von ihnen ist in den verwendeten Versionen/Konfigurationen von dem Exploit betroffen.
Wenn Sie Fragen oder Bedenken zu diesem Thema haben, wenden Sie sich bitte an datenschutz@localyzer.io. Sicherheit und Zuverlässigkeit haben für Localyzer weiterhin höchste Priorität.
[1] Die Log4j-Schwachstelle (CVE-2021-44228) ermöglicht die unauthentifizierte Remote-Code-Ausführung (RCE) in Java-Anwendungen, die mit einer anfälligen Version von Apache Log4j 2 arbeiten. Diese Schwachstelle stellt ein ernsthaftes Risiko für diejenigen dar, die diese Version verwenden, da sie bei korrekter Ausnutzung einen nicht autorisierten Zugriff oder die vollständige Kontrolle über Systeme ermöglichen kann.
[2] Die eingeschränkte Schwachstelle in Log4j (CVE-2021-45046) macht in einigen Fällen frühere Schwachstellenbehebungen ungültig. Diese Schwachstellen sind in Log4j 2.16.0 behoben.