| ... |
... |
@@ -1,3 +1,11 @@ |
|
1 |
+{{info}} |
|
2 |
+Für {{formcycle/}} Versionen 7.0.0 bis 7.0.6 ist verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke enthält. Momentan können wir noch nicht abschätzen, inwieweit diese in Kombination mit {{formcycle/}} ausgenutzt werden kann. In der Zwischenzeit empfehlen daher, die vom Hersteller für diese Version empfohlene Mitigation umzusetzen und beim Tomcat die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Umgebungsvariablen zu setzen. |
|
3 |
+Unter Windows kann dies beispielsweise im Tomcat Monitor an folgender Stelle getan werden: |
|
4 |
+ |
|
5 |
+Unter Linux werden diese Umgebungsvariablen übnerlicherweise in der Datei {{code language="none"}}setenv.sh{{/code}} gesetzt. Diese könnte nach dem Setzen des Parameters dann zum Beispiel den folgenden Inhalt aufweisen: |
|
6 |
+{{code language="none"}}export JAVA_OPTS="-Dfile.encoding=UTF-8 -Xms1024m -Xmx4096m -Dlog4j2.formatMsgNoLookups=true"{{/code}} |
|
7 |
+{{/info}} |
|
8 |
+ |
| 1 |
1 |
{{content/}} |
| 2 |
2 |
|
| 3 |
3 |
Für einen möglichst sicheren Betrieb von {{formcycle/}} sind je nach Systemumgebung und Anwendungsfällen verschiedene Konfigurationen möglich bzw. empfohlen. Hierbei ist zu unterscheiden zwischen der Konfiguration der Umgebung wie z.B. des Tomcat-Servers, der ggf. vorgeschaltenen Web-Server, Proxies oder Load-Balancer und der Konfiguration von {{formcycle/}} selbst. |
