| ... |
... |
@@ -1,11 +1,13 @@ |
| 1 |
1 |
{{info}} |
| 2 |
|
-Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke enthält. Momentan können wir noch nicht abschätzen, inwieweit diese in Kombination mit {{formcycle/}} ausgenutzt werden kann. In der Zwischenzeit empfehlen daher, die [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die verwendete Log4j-Version empfohlene Mitigation umzusetzen und beim Tomcat die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Umgebungsvariablen zu setzen. |
|
2 |
+Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke enthält. Momentan kennen wir kein Szenario, bei der diese Sicherheitslücke in {{formcycle/}} ausgenutzt werden kann. In der Zwischenzeit empfehlen wir trotzdem, die [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die verwendete Log4j-Version empfohlene Mitigation umzusetzen und für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
| 3 |
3 |
|
| 4 |
|
-Unter Windows kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden: |
|
4 |
+Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden: |
| 5 |
5 |
[[image:tomcat_log4j_settings.png||width="350"]] |
| 6 |
6 |
|
| 7 |
|
-Unter Linux werden diese Umgebungsvariablen üblicherweise in der Datei {{code language="none"}}setenv.sh{{/code}} gesetzt. Diese könnte nach dem Setzen des Parameters dann zum Beispiel den folgenden Inhalt aufweisen: |
|
7 |
+Unter Linux werden Umgebungsvariablen bei Apache Tomcat Installationen üblicherweise in der Datei {{code language="none"}}setenv.sh{{/code}} gesetzt. Diese könnte nach dem Setzen des Parameters dann zum Beispiel den folgenden Inhalt für die Java-Optionen aufweisen: |
| 8 |
8 |
{{code language="none"}}export JAVA_OPTS="-Dfile.encoding=UTF-8 -Xms1024m -Xmx4096m -Dlog4j2.formatMsgNoLookups=true"{{/code}} |
|
9 |
+ |
|
10 |
+Bei der Verwendung von anderen Servlet-Containern als dem Apache Tomcat konsultieren Sie bitte die Dokumentation dieses Servlet-Containers, an welcher Stelle dieser Parameter übergeben werden kann. |
| 9 |
9 |
{{/info}} |
| 10 |
10 |
|
| 11 |
11 |
{{content/}} |
