Sehr geehrte Damen und Herren,
wie Sie sicherlich über die Presse erfahren haben, gibt es eine erhebliche Sicherheitslücke in der Bibliothek Log4j, diese wurde zwischenzeitlich vom BSI auf die Warnstufe Rot gesetzt (10).
Wir haben die Information erhalten und mit der Prüfung begonnen. Diese Prüfung konnten wir am 14.12.2021 erfolgreich abschließen.
Die im Zusammenhang mit der Datenbankaktualisierung in ProSa und AKuK der Sprengnetter Real Estate Services GmbH verwendeten Versionen von Log4J sind hiervon nicht betroffen.
Die aktuelle Schwachstelle betrifft laut des offiziellen BSI-Berichts die Versionen 2.0.0 bis 2.14.1. In der Version 1.x gibt es zwar nach aktuellem Kenntnisstand eine andere Schwachstelle, die nur unter bestimmten Voraussetzungen (durch eine fehlerhafte Konfiguration) ausgenutzt werden kann. Diese Voraussetzungen treffen auf die Bibliotheken zur Datenbankaktualisierung nicht zu – es wird kein JMSAppender verwendet. Außerdem handelt es sich bei Bibliotheken zur Datenbankaktualisierung um eine eigenständige Client-Anwendung, auf die kein Zugriff aus dem Internet möglich ist und somit kein Angriffsvektor vorhanden ist.