| ... |
... |
@@ -4,7 +4,7 @@ |
| 4 |
4 |
Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.8>>doc:Blog.FORMCYCLE 708.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücken nicht mehr enthält.** |
| 5 |
5 |
|
| 6 |
6 |
|
| 7 |
|
-Für Installationen, bei denen eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
|
7 |
+Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
| 8 |
8 |
|
| 9 |
9 |
Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden: |
| 10 |
10 |
[[image:tomcat_log4j_settings.png||width="350"]] |
| ... |
... |
@@ -14,7 +14,7 @@ |
| 14 |
14 |
|
| 15 |
15 |
Bei der Verwendung von anderen Servlet-Containern als dem Apache Tomcat konsultieren Sie bitte die Dokumentation dieses Servlet-Containers, an welcher Stelle dieser Parameter übergeben werden kann. |
| 16 |
16 |
|
| 17 |
|
-Falls eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche die betroffenen //JNDI Lookup pattern// enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden. |
|
17 |
+Falls eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche die betroffenen //JNDI Lookup pattern// enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden. |
| 18 |
18 |
{{/info}} |
| 19 |
19 |
|
| 20 |
20 |
{{content/}} |
