Inhalt

Kritische Schwachstelle in Java-Bibliothek (17.12.2021)

IW-Elan ist nicht betroffen!

Info_log4j

Nutzerinnen und Nutzer von IW-Elan sind von der kritischen Schwachstelle in der weit verbreiteten Java-Bibliothek log4j nicht betroffen: 

  1. IW-Elan wird nur lokal eingesetzt und ist keine aus dem Internet erreichbare Java-Anwendung, die mit Hilfe von log4j Teile der Nutzeranfragen protokolliert.
  2. Bei dem durch Verschlüsselung geschützten elektronischen Versand der Anzeige aus IW-Elan wird an der Schnittstelle zum BA-Empfangsserver kein Java und somit kein log4j eingesetzt.

Durch die übrigen potenziellen Sicherheitslücken von log4j-1.2.15 ist IW-Elan ebenfalls nicht betroffen: 

  • Deserialization of Untrusted Data
    IW-Elan nutzt die Logger-Klasse von log4j ausschließlich als "private static final" deklariertes Objekt. 
  • Remote Code Execution (RCE) 
    IW-Elan verwendet kein Remote Logging. Klassen wie "JMSAppender", "STMPAppender" und "SocketServer" von org.apache.log4j.net werden nicht verwendet. 
  • Man-in-the-Middle (MitM) 
    Siehe obigen Hinweis zu RCE.

Die Meldungen des BSI zum log4j werden zur Zeit ständig aktualisiert – wir haben diese im Blick und informieren Sie an dieser Stelle!