Sicherheitslücke CVE-2021-44228 im log4j-Paket von Apache

 

CVE-2021-44228 ist eine Schwachstelle in Apache Log4j, einer Java-Bibliothek. Daher kann diese Sicherheitsanfälligkeit nur Java-basierte Anwendungen betreffen.

Atlassian

Auswirkungen auf Cloud-Produkte

Diese Sicherheitsanfälligkeit wurde für alle Atlassian-Cloud-Produkte behoben, die zuvor anfällige Versionen von Log4j verwendeten. Bis heute hat unsere Analyse keine Kompromittierung von Atlassian-Systemen oder Kundendaten vor dem Patchen dieser Systeme festgestellt.

Atlassian-Kunden sind nicht angreifbar und es sind keine Maßnahmen erforderlich.

Auswirkungen auf lokale Produkte

Lokale Atlassian-Produkte sind nicht anfällig für CVE-2021-44228.

Einige lokale Produkte verwenden einen von Atlassian verwalteten Fork von Log4j 1.2.17, der nicht anfällig für CVE-2021-44228 ist. Wir haben zusätzliche Analysen zu diesem Fork durchgeführt und eine neue, aber ähnliche Schwachstelle bestätigt, die nur von einer vertrauenswürdigen Partei ausgenutzt werden kann.

Aus diesem Grund stuft Atlassian den Schweregrad für lokale Produkte als niedrig ein.

 

Weitere aktuelle, detaillierte Informationen:

https://confluence.atlassian.com/display/SECURITY/Multiple+Products+Security+Advisory+-+Log4j+Vulnerable+To+Remote+Code+Execution+-+CVE-2021-44228

https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html

Plesk

Plesk verwendet Java intern nicht, sodass Plesk von dieser Sicherheitsanfälligkeit nicht betroffen ist. Da die Tomcat-Unterstützung ab Plesk Version 17.8 eingestellt wurde, unterstützt Plesk keine Java-basierten Anwendungen der Benutzer mehr.

Es sind keine Maßnahmen erforderlich.

Elasticsearch

Zammad und die Nextclouds sind nach dem Update auf die Version 7.16.1 sicher.