BlueRange nicht von log4j/log4shell-Verletzung betroffen

Sicher sein mit BlueRange

Für die kritische Sicherheitslücke in log4j (CVE-2021-44228) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am 12. Dezember 2021 eine Erhöhung der Warnstufe auf Rot ausgesprochen. Mehr dazu lesen Sie in der offiziellen Stellungnahme des BSI

Sofortige Tests auf dem BlueRange-System stellten sicher, dass BlueRange nicht von der Sicherheitslücke betroffen ist. TCPDUMP zur Überprüfung von Netzwerkverbindungen Erfahren Sie mehr: https://www.huntress.com/blog/critical-rce-vulnerability-log4j-cve-2021-44228 BlueRange basiert nicht auf dem betroffenen “log4j”-Framework, sondern verwendet Logback. Siehe Log4J2 Sicherheitslücke und Spring Boot

Nicht verwendete Bibliotheken werden mit der nächsten Version entfernt.

BlueRange verwendet Unterstützung für Splunk (splunk-library-javalogging). Das Framework bringt log4j-core in Version < 2.15.0 mit. BlueRange nutzt das betroffene Framework jedoch nicht. Daher kann die gemeldete Sicherheitslücke in unserem System nicht ausgenutzt werden. Dennoch wurde auf BlueRange eine Optimierung durchgeführt, bei der die unbenutzte Bibliothek log4j-core komplett entfernt wird. Das Software-Update wird spätestens nächste Woche mit der nächsten BlueRange Server Version 5.8 verfügbar sein. Die neue Version von BlueRange wird eine Vielzahl von Funktionen sowie Optimierungen und Verbesserungen enthalten. Aus diesem Grund empfehlen wir ein zeitnahes Update auf die aktuelle Version nach dem Release.

Übersetzt mit DeepL.com (kostenlose Version)