Hotfix für Sicherheitslücke in Java-Bibliothek log4j

Mitte Dezember 2021 wurde eine kritische Sicherheitslücke in der Java-Bibliothek log4j bekannt – siehe Meldung des BSI.

Auch in der DAVID-Produktfamilie von ibR wird die Java-Bibliothek log4j verwendet. Betroffen sind die DAVID-Benutzungskomponenten ab der Version 4.x, der DAVID-Expertenplatz ab der Version 5.32 sowie die DAVID-Klientenverwaltung ab der Version 1.0.

Zur Behebung der Sicherheitslücke sind für diese Software-Komponenten im Download-Bereich von ibR jeweils aktuelle Hotfix mit der Version log4j 2.xx bereitgestellt:

• für die DAVID-Benutzungskomponenten ab der Version 4 unter public/Hotfix_log4j_Web
• für die DAVID-Klientenverwaltung ab der Version 1.0 unter public/Hotfix_log4j_Web
• für den DAVID-Expertenplatz ab der Version 5.32 unter public/Hotfix_log4j_DAVID

Beschreibungen zur Installation der Hotfix sind in den entsprechenden Verzeichnissen/Zip-Files enthalten.

Nicht betroffen sind die DAVID-GeoDB als AAA-DHK, der DAVID-PortalAdapter sowie der DAVID-LBESAS-NAS-Konverter. Bei diesen Software-Komponenten wird zwar auch die Java-Bibliothek log4j verwendet – nicht aber in einer kritischen Version. Entsprechende Updates auf die neuesten Versionen werden folgen.

Hinweis (11.01.2022):
Aktuelle Hotfix zur log4j Version 2.17.1 sind im Download-Bereich von ibR bereitgestellt und können bei Bedarf verwendet werden.

Die nächsten Updates der einzelnen Software-Komponenten der DAVID-Produktfamilie werden die aktuelle Version der Java-Bibliothek log4j mit enthalten.

ibR Geoinformation GmbH – 11.01.2022