Log4j

rainer.lilischkis 2021-12-13 12:25:49 UTC #1

Hallo,

sind Egroupware -Server von dem Problem mit log4j betroffen?

Beste Grüße
RAiner

StefanU 2021-12-13 13:36:28 UTC #2

Hallo Rainer.

Log4j ist ein Java-Modul.
EGroupware ist in PHP und JavaScript/TypeScript geschrieben.

Somit: EGroupware liefert kein Log4j aus.

Was du sonst noch auf deinem Server laufen hast weißt du allerdings nur selber…

Stefan

rainer.lilischkis 2021-12-13 13:42:51 UTC #3

Hallo Stefan,

vielen Dank für die schnelle Antwort.
Ich war mir nicht sicher ob die Docker Installation etwas relevantes mitbringt.
Ansonsten kann ich auf dem Server kein Java finden. Das ist beruhigend.

viele Grüße
Rainer

StefanU 2021-12-13 14:04:00 UTC #4

Wir haben uns am WE intensiv damit beschäftigt:

EGroupware: nix
Docker: nix
Jitsi: nix (wenn nicht explizit “Callstats” eingeschaltet wird, was z.B. bei KiwiTalk. nicht der Fall ist)
Collabora Online: nix
Rocket.Chat: nix
BBB: nix

Auch die zusätzlichen Container (push, …) sind nach aktuellem Stand nicht betroffen. Hat auch alles kaum/nichts mit Java zu tun.

Es werden diverse Liste mit betroffenen Produkten geführt. So z. B.:

gist.github.com

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

20211210-TLP-WHITE_LOG4J.md

Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228)

## Errors, typos, something to say ?
  - If you want to add a link, comment or send it to me
  - Feel free to report any mistake directly below in the comment or in DM on Twitter [@SwitHak](https://twitter.com/SwitHak)

# Other great ressources
- Royce Williams list is different, listed by vendors responses:
- https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
- TBD

This file has been truncated. show original

Betroffenes Produkt heißt aber nicht zwangsläufig verwundbar!

Ich denke, du kannst dich diesbezüglich beruhigt zurück lehnen

Stefan