Log4j-Sicherheitslücke: XPhone ist nicht betroffen

13.12.2021

 
 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe Rot ausgerufen. Auslöser ist eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j. Über diese Sicherheitslücke können Angreifer beliebigen Code ausführen lassen.

Die gute Nachricht: XPhone ist von dieser Sicherheitslücke nicht betroffen.

  1. Im Code von XPhone und in den von uns mitgelieferten Komponenten ist log4j nicht enthalten. In unserem Produkt enthalten ist hingegen die Komponente „log4net“. Diese Komponente ist nach aktuellem Kenntnisstand jedoch nicht von diesem Exploit betroffen.

  2. Ausnahme: Im von uns mitgelieferten Microsoft SQL-Server Express befindet sich die Version 1.2.7 von log4j. Sie wird allerdings NICHT von unserem Produkt verwendet und es gibt auch keine von uns empfohlenen 3rd-Party-Komponenten, die dies tun. Nach unserer Information ist diese Version auch nicht von CVE-2021-44228 betroffen. Sie können die Datei bedenkenlos löschen (C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars).

  3. Das Produkt HCL Notes (vormals IBM Notes/Lotus Notes), das ggf. für den Zugriff auf Notes-Kontakte auf dem XPhone-Server installiert sein kann, enthält eine log4j-Datei. Der Hersteller HCL statuiert, dass Notes NICHT vom Exploit betroffen ist. Wir können keine Empfehlung für eine korrekte Verhaltensweise geben und verweisen auf die Webseite des Herstellers: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516
    Sicherheitslücke
     

    Weiterführende Informationen zur Log4j-Lücke finden Sie hier:

    Newsletter abonnieren

     
     
     
     
     
     
     

    Vielen Dank! Bitte schließen Sie Ihre Newsletter-Anmeldung ab, indem Sie den Link in unserer Bestätigungs-Mail klicken.

     
     

    Leider ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.