Entwarnung: Sicherheitslücke Log4j und ELOoffice

Seit dem vergangenen Wochenende ist das Internet aufgrund der Sicherheitslücke Log4j in Aufruhr. Wir können jedoch Entwarnung geben, denn ELOoffice ist hiervon nicht betroffen. Das Framework Log4j befindet sich zwar in den von ELOoffice verwendeten Modulen „Dropzone“, „Mobile Connect“ und „Datensicherung/-wiederherstellung“, stellt aber aus den folgenden Gründen keine Sicherheitsgefahr dar:

• Die Module „Dropzone“ und „Mobile Connect“ nutzen Version 1 von Log4j
• Das Modul „Datensicherung-/wiederherstellung“ nutzt zwar einen Webserver, der wiederum Log4j-Klassen enthält, jedoch werden diese nicht für Logging-Vorgänge verwendet.

Update: Inzwischen ist bekannt, dass auch die Version 1 von Log4j betroffen sein kann. Das ist allerdings nur der Fall, wenn ein JNDI-Zugriff konfiguriert wurde. In der Standardkonfiguration findet dieser Zugriff jedoch keine Berücksichtigung. Weiteres Gefährdungspotenzial durch den SMTP Logger oder Remote Logging kann im Zusammenhang mit ELOoffice ausgeschlossen werden, da beide Varianten nicht zum Einsatz kommen.