Log4j2 Sicherheitslücken – Was sollten webPDF Kunden beachten?

Aktuell gehen die Meldungen über log4j2 Sicherheitslücken durch alle Medien (Mehr Infos: log4j Website). Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat sogar eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht und bezeichnet die aktuelle Situation als eine „extrem kritischen Bedrohungslage“. Viele Unternehmen sind verunsichert und fragen sich, ob sie konkret betroffen sind und wenn ja, wie sie am besten vorgehen sollten.

Zu den Log4j2 Sicherheitslücken

Die sogenannte „Log4Shell“ Schwachstelle betrifft die weit verbreitete Log4j Protokollierungsbibliothek für Java-Anwendungen.

Die Protokollierungsbibliothek dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab den Versionen 2.x (bis 2.14.1) auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Dabei kann die Schwachstelle, durch die Verwendung einer speziellen Zeichenkette, trivial ausgenutzt werden. Die Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Exfiltration von vertraulichen Daten (z. B. Umgebungsvariabeln) oder in bestimmten Umständen zu einer DoS Attacke (Denial of Service) führen.

Was sollten webPDF Kunden beachten?

Für webPDF Kunden empfehlen wir folgende Vorgehensweise:

  • webPDF 8: setzt die Bibliothek in der Version 2 ein und ist daher betroffen
    Es wird dringend empfohlen ein Update auf die aktuelle webPDF 8 Version einzuspielen. Andere Möglichkeiten stehen nicht zur Verfügung.
  • webPDF 7: Nicht betroffen, da hier log4j Version 1 im Einsatz ist

Bitte beachten Sie unsere ausführlichen Hinweise im webPDF-Blog:

https://www.webpdf.de/blog/webpdf-sicherheitsupdate-version-r2376-zu-log4j-sicherheitsluecke/

https://www.webpdf.de/blog/webpdf-sicherheitsupdate-version-r2374-zu-log4j-sicherheitsluecke/

https://www.webpdf.de/blog/webpdf-sicherheitsupdate-version-r2372-zu-log4j-sicherheitsluecke/

Hier finden Sie unsere aktuellen Sicherheitsupdates:

Ein Update von webPDF 8 auf log4j 2.17 steht auf der Download-Seite mit der Revision 2376 zur Verfügung. Auch die LINUX-Packages unter https://packages.softvision.de/ und der Container „softvisiondev/webpdf“ auf Docker Hub wurden entsprechend aktualisiert.