Erklärung zu der Sicherheitslücke „Log4j“ von FocusPoint
Charles Robinson – Technischer Direktor, FocusPoint
Als Reaktion auf die potenziellen Auswirkungen der Open-Source-Sicherheitslücke „Log4j“ von Apache in Bezug auf FocusPoint ist festzustellen, dass das System davon nicht betroffen ist. FocusPoint basiert auf dem neuesten .NET Core-Stack und ist daher von dieser Sicherheitslücke nicht betroffen.
Die Komponenten von SAP, die die Integration unterstützen, sollten von Ihrem SAP-VAR bewertet werden. Bitte beachten Sie dazu die folgende Anlage, die von SAP veröffentlicht wurde.
Weitere Details zur „Log4j“-Sicherheitslücke:
Die vom NIST alsCVE-2021-44228bezeichnete Schwachstelle habe ich wie folgt beschrieben: „Die in der Konfiguration, in Protokollmeldungen und Parametern verwendeten JNDI-Funktionen von Apache Log4j2 2.0-beta9 bis 2.12.1 und 2.13.0 bis 2.15.0 bieten keinen Schutz vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der Protokollmeldungen oder Protokollmeldungsparameter kontrollieren kann, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachrichtenersetzung aktiviert ist. Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. Ab Version 2.16.0 wurde diese Funktionalität vollständig entfernt. Beachten Sie, dass diese Sicherheitslücke spezifisch für log4j-core ist und keine Auswirkungen auf log4net, log4cxx oder andere Apache Logging Services-Projekte hat.“
Weitere Informationen zu dieser Sicherheitslücke finden Sie indieser Erklärungder Cybersecurity & Infrastructure Security Agency.
Präsentiert vom B2B- und B2C-E-Commerce-Implementierungsteam von FocusPoint: eine Komplettlösung für SAP Business One-Kunden.
