Tweet
Hallo
gibt es von OpenXchange ein offizielles Statement zu CVE-2021-44228 (der in letzter Zeit stark thematisierten log4j-Lücke)?
Im gestrigen Release von v7.10.5-rev32 und v7.10.4-rev30 wurde dieser Punkt in den Release-Notes offiziell nicht erwähnt, dort steht nur CVE-2021-44208-13.
Die Logs im OX werden ja nach meinem Verständnis per log4j-over-slf4j geschrieben.
Ließe sich das z.B. durch einen speziell formatierten Usernamen z.B. auch in öffentlich zugänglichen Login-Fenstern ausnutzen?
In den Community-Based Listen zu verwundbarer Software habe ich nichts gefunden.
Sollte man die empfohlene Migitation (log4j2.formatMsgNoLookups=true) als Property setzen bzw die jndi-Klassen entfernen?
gibt es von OpenXchange ein offizielles Statement zu CVE-2021-44228 (der in letzter Zeit stark thematisierten log4j-Lücke)?
Im gestrigen Release von v7.10.5-rev32 und v7.10.4-rev30 wurde dieser Punkt in den Release-Notes offiziell nicht erwähnt, dort steht nur CVE-2021-44208-13.
Die Logs im OX werden ja nach meinem Verständnis per log4j-over-slf4j geschrieben.
Ließe sich das z.B. durch einen speziell formatierten Usernamen z.B. auch in öffentlich zugänglichen Login-Fenstern ausnutzen?
In den Community-Based Listen zu verwundbarer Software habe ich nichts gefunden.
Sollte man die empfohlene Migitation (log4j2.formatMsgNoLookups=true) als Property setzen bzw die jndi-Klassen entfernen?