| ... |
... |
@@ -1,7 +1,7 @@ |
| 1 |
1 |
{{info}} |
| 2 |
2 |
Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke enthält. Momentan kennen wir kein Szenario, bei der diese Sicherheitslücke in {{formcycle/}} ausgenutzt werden kann. In der Zwischenzeit empfehlen wir, auf die {{formcycle/}} [[Version 7.0.7>>doc:Blog.FORMCYCLE 707.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücke nicht mehr enthält. |
| 3 |
3 |
|
| 4 |
|
-Falls eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, empfehlen wir, die [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] empfohlene Mitigation umzusetzen, welche für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
|
4 |
+Falls eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, empfehlen wir, die Mitigation umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
| 5 |
5 |
|
| 6 |
6 |
Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden: |
| 7 |
7 |
[[image:tomcat_log4j_settings.png||width="350"]] |
