Die Software-Sicherheit und der Schutz von personenbezogenen und geschäftlichen Daten sind wichtigste Fragen moderner Welt.
Log4j

Was ist Log4j?

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Log4j ist ein Teil von Apache Logging Project.

Was ist los?

Am 9. Dezember 2021 wurde über kritische Schwachstelle von Log4j – CVE-2021-44228 – bekannt. Sie erlaubt möglicherweise beliebigen Code auszuführen, was zum Datenverlust führen kann. Die Schwachstelle ist verschiedenartige Projekte: von iCloud bis Steam betroffen.
Security

Wie es die Stimulsoft-Kunden betrifft?

Das Problem, das mit Log4j-Schwachstelle verbunden ist, kann nur die Benutzer von einzelner unsere Software – Stimulsoft Reports.Java betreffen. Aber kein unser Produkt verwendet die Log4j-Bibliothek direkt.

Für die Arbeit mit SVG-Bildern verwenden wir die Bibliothek Apache™ Batik SVG Toolkit, die das Dienstprogramm commons-logging verwendet, das wiederum mit Log4j interagieren kann (wenn Ihr System dafür konfiguriert ist).

Was müssen Sie tun?

Das Problem mit Schwachstelle ist schon in Log4j 2.12.2 und Log4j 2.17.0 behoben. Wenn Sie unter Java 8 (oder später) arbeiten, aktualisieren Sie Log4j bis zur Version 2.17.0. Wenn Sie unter Java 7 arbeiten, aktualisieren Sie Log4j bis zur Version 2.12.2.

Ansonsten, entfernen Sie JndiLookup-Klasse aus classpath:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Merken Sie, dass diese Schwachstelle nur auf log4j-core JAR-Datei auswirkt, und betrifft nicht die Anwendungen, die nur log4j-api JAR-Datei ohne log4j-core JAR-Datei verwenden.
By using this website, you agree to the use of cookies for analytics and personalized content. Cookies store useful information on your computer to help us improve efficiency and usability. For more information, please read the privacy policy and cookie policy.