Erklärung zur "Log4j"-Schwachstelle von FocusPoint
Charles Robinson - Technischer Leiter, FocusPoint
Als Antwort auf die möglichen Auswirkungen der Open-Source Apache "Log4j"-Schwachstelle in Bezug auf FocusPoint, gibt es keine Auswirkungen auf das System. FocusPoint basiert auf dem neuesten .NET Core Stack und ist daher nicht von dieser Sicherheitslücke betroffen.
SAP-Komponenten, die die Integration unterstützen, sollten von Ihrem SAP-VAR evaluiert werden. Bitte beachten Sie die folgende von SAP freigegebene Anlage.
Weitere Details zur "Log4j"-Schwachstelle:
Die Schwachstelle, die vom NIST als CVE-2021-44228 bezeichnet wird, wird wie folgt beschrieben: "Apache Log4j2 2.0-beta9 bis 2.12.1 und 2.13.0 bis 2.15.0 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und -parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der die Kontrolle über Log-Meldungen oder Log-Meldungs-Parameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Substitution von Meldungen aktiviert ist. Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. Ab Version 2.16.0 wurde diese Funktionalität vollständig entfernt. Beachten Sie, dass diese Schwachstelle spezifisch für log4j-core ist und nicht log4net, log4cxx oder andere Apache Logging Services Projekte betrifft."
Weitere Einzelheiten zu dieser Sicherheitslücke finden Sie in dieser Erklärung der Cybersecurity & Infrastructure Security Agency.
Das B2B- und B2c-E-Commerce-Implementierungsteam von FocusPoint stellt Ihnen eine All-in-One-Lösung für SAP Business One-Kunden vor.