Sicherheitslücke in log4j: windream nicht betroffen
Aktueller Hinweis log4j
Der Grund für diese positive Mitteilung besteht darin, dass wir die Version 1.2.17 von log4j in dem Produkt windream ArcLink für SAP und in der windream CMIS-Schnittstelle nutzen. Laut Information des BSI ist log4j in den Versionen 1.x von dieser Schwachstelle nicht betroffen. Weitere Informationen dazu finden Sie auf der Homepage des BSI unter dem folgenden Link (Seite 3, Update 2):
Zur Sicherheitswarnung des BSI
Auf der Seite 4, Update 4, wird auf Tools verwiesen, mit denen ermittelt werden kann, ob die betroffenen Versionen von log4j auf einem System verwendet werden.
windream ArcLink erfordert auch den Einsatz einer geeigneten Version von Apache Tomcat. Laut Apache verwendet Tomcat in der Standardkonfiguration kein log4j. Die Standardkonfiguration wird durch windream ArcLink nicht verändert.
https://tomcat.apache.org/tomcat-8.0-doc/logging.html
https://tomcat.apache.org/tomcat-9.0-doc/logging.html
Nach umfangreichen Prüfungen in unserem Hause und um alle Risiken auszuschließen, haben wir beschlossen, windream ArcLink auf die aktuellste Version von log4j umzustellen. Die Umstellung wird jedoch etwas Zeit in Anspruch nehmen. Wir informieren Sie, sobald eine neue Version zur Verfügung steht.
Bleiben Sie up-to-date: Erhalten Sie Neuigkeiten über Aktionen und Events sowie Wissenswertes zum digitalen Dokumenten-und Prozessmanagement in unserem monatlichen Newsletter.
Jetzt abonnieren
p.plenz@windream.com