Announcement

Collapse
No announcement yet.

OpenXchange and CVE-2021-44228

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • OpenXchange and CVE-2021-44228

    Hallo

    gibt es von OpenXchange ein offizielles Statement zu CVE-2021-44228 (der in letzter Zeit stark thematisierten log4j-Lücke)?

    Im gestrigen Release von v7.10.5-rev32 und v7.10.4-rev30 wurde dieser Punkt in den Release-Notes offiziell nicht erwähnt, dort steht nur CVE-2021-44208-13.

    Die Logs im OX werden ja nach meinem Verständnis per log4j-over-slf4j geschrieben.
    Ließe sich das z.B. durch einen speziell formatierten Usernamen z.B. auch in öffentlich zugänglichen Login-Fenstern ausnutzen?

    In den Community-Based Listen zu verwundbarer Software habe ich nichts gefunden.
    Sollte man die empfohlene Migitation (log4j2.formatMsgNoLookups=true) als Property setzen bzw die jndi-Klassen entfernen?
Working...
X