In den vergangenen Tagen Stand die Warnmeldung des BSI mit Bezug zur Sicherheitslücke Log4shell (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228) im Mittelpunkt. In der weit verbreiteten Java-Bibliothek Log4j führt die kritische Schwachstelle Log4j (CVE-2021-44228) nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage.
Uns ist wichtig, Sie hierbei umfassend und transparent über den Status unserer Produkte und Lösungen zu informieren.
Unsere Sicherheitsexperten in der Produktentwicklung haben Merlin und die zugehörigen Bibliotheken, die für die Ausführung erforderlich sind, analysiert. Wir können Ihnen versichern, dass diese Schwachstelle keine Merlin-Version nach mindestens 7.0.0 in irgendeiner kritischen Weise betrifft (Versionen vor 7.0.0 wurden nicht geprüft).
- M.Core und alle seine Module sind nicht betroffen, da Log4j nicht verwendet wird.
- Keycloak, das von Merlin zur Authentifizierung verwendet wird, ist nicht betroffen, da es nur die API von Log4j enthält, nicht aber die betroffene Implementierung. Wir befolgen bereits alle Empfehlungen von Keycloak, d.h. der JMSAppender ist nicht aktiviert (siehe auch https://github.com/keycloak/keycloak/discussions/9078).
- Auch M.Model ist nicht gefährdet. M.Model, bei dem es sich nicht um einen Server, sondern um eine Client-Anwendung handelt, die auf dem PC des internen Benutzers läuft, unterliegt nicht den üblichen Angriffsvektoren von außen. Außerdem ist M.Model nicht direkt betroffen, da wir logback für Protokollierungszwecke verwenden. Derzeit sind wir dabei zu prüfen, ob Log4j möglicherweise von einer in M.Model verwendeten Komponente transitiv verwendet wird. Sollte dies der Fall sein, würden wir diese potenzielle Verwendung von Log4j entfernen, um völlig sicher zu sein.
Weitere Informationen finden Sie hier: https://www.lunasec.io/docs/blog/log4j-zero-day/
Um auch in Zukunft sicher zu sein, werden wir unser Produkt regelmäßig auf die neuesten stabilen Versionen der Bibliotheken aktualisieren, damit wir Ihnen eine sicher zu verwendende Software anbieten können. Eines unserer Mittel zur frühzeitigen Erkennung von Problemen ist eine automatische tägliche Überprüfung aller enthaltenen Abhängigkeiten auf kritische Sicherheitslücken.