Mitteilung zur Behebung der Apache Log4j Sicherheitslücke (CVE-2021-44228)

Wir möchten Sie über den Status unserer Untersuchung und Reaktion auf die Sicherheitslücke von Apache Log4j* informieren, die am 9. Dezember 2021 veröffentlicht wurde:

 

Für den Service meviy wurden alle Schwachstellen im Bezug auf die Log4j-Sicherheitslücke behoben!

Informationen zur Untersuchung und Gegenmaßnahmen:
  • • Die meviy-Serveranwendung verwendet die betroffene Bibliothek nicht
  • • Als Gegenmaßnahme wurden am 13. Dezember WAF-Regeln zum Blockieren von Angriffen auf die log4j-Schwachstelle angewendet.
  • • Einige Middleware, die keine externe Kommunikation ausführen, verwenden log4j. Am 21. Dezember wurde ein Update für die entsprechenden Middleware eingespielt

Wir werden weiterhin Informationen über diese Schwachstelle sammeln und bei Bedarf Gegenmaßnahmen ergreifen.

 

*Apache Log4j ist eine weit verbreitete Bibliothek für Java-basierte Systeme. Die am 9. Dezember 2021 bekannt gewordene Schwachstelle könnte, wenn sie ausgenutzt wird, einem Dritten die Möglichkeit geben, beliebigen Code auszuführen, indem manipulierte Daten gesendet werden.