Sicherheitslücke in log4j: windream nicht betroffen

Mit dieser Nachricht möchten wir Sie darüber informieren, dass mit dem derzeitigen Wissensstand windream-Produkte grundsätzlich nicht von der kritischen Schwachstelle in log4j betroffen sind, da in windream nicht die Versionen 2.0 bis 2.14.1 verwendet werden.

Aktueller Hinweis Log4j

Aktueller Hinweis log4j

Der Grund für diese positive Mitteilung besteht darin, dass wir die Version 1.2.17 von log4j in dem Produkt windream ArcLink für SAP und in der windream CMIS-Schnittstelle nutzen. Laut Information des BSI ist log4j in den Versionen 1.x von dieser Schwachstelle nicht betroffen. Weitere Informationen dazu finden Sie auf der Homepage des BSI unter dem folgenden Link  (Seite 3, Update 2):

Zur Sicherheitswarnung des BSI

Auf der Seite 4, Update 4, wird auf Tools verwiesen, mit denen ermittelt werden kann, ob die betroffenen Versionen von log4j auf einem System verwendet werden.

windream ArcLink erfordert auch den Einsatz einer geeigneten Version von Apache Tomcat. Laut Apache verwendet Tomcat in der Standardkonfiguration kein log4j. Die Standardkonfiguration wird durch windream ArcLink nicht verändert.

https://tomcat.apache.org/tomcat-8.0-doc/logging.html
https://tomcat.apache.org/tomcat-9.0-doc/logging.html

Nach umfangreichen Prüfungen in unserem Hause und um alle Risiken auszuschließen, haben wir beschlossen, windream ArcLink auf die aktuellste Version von log4j umzustellen. Die Umstellung wird jedoch etwas Zeit in Anspruch nehmen. Wir informieren Sie, sobald eine neue Version zur Verfügung steht.

Bleiben Sie up-to-date: Erhalten Sie Neuigkeiten über Aktionen und Events sowie Wissenswertes zum digitalen Dokumenten-und Prozessmanagement in unserem monatlichen Newsletter.
Jetzt abonnieren

image description
Sie haben Fragen?
Patrick Plenz Marketing & Unternehmenskommunikation

windream News

Bleiben Sie up-to-date und abonnieren Sie jetzt unseren windream Newsletter.