Hinweis zur kritischen Schwachstelle CVE-2021-44228

CVE-2021-44228 steht im Zusammenhang mit einer kritischen Schwachstelle der Log4j-Logging-Komponente von Apache, welche es Angreifern ermöglichen könnte, beliebigen Code auf den betroffenen Systemen auszuführen.

Die Produktionssysteme von Tapkey sind von CVE-2021-44228 nicht betroffen.

 

Das Tapkey Trust Service verwendet Log4j in keiner Weise und ist daher nicht von der Schwachstelle betroffen.

Das Tapkey Mobile SDK und die Tapkey App verwenden zwar die Sprache Java, aber nicht Log4j. Darüber hinaus unterstützen die anvisierten Betriebssysteme (Android und iOS) kein JNDI, das erforderlich wäre, um die Schwachstelle auszunutzen.

Das Tapkey Lock SDK ist nicht betroffen, da es weder Log4j noch die JVM verwendet.

Allerdings haben wir einen Beispielcode identifiziert, die auf eine anfällige Version von Log4j verweist. Wir hosten einige Beispielcodes für Java-Entwickler auf GitHub, welche du hier findest.

Der Code verwendet Spring-Boot in einer Version, welche auf eine anfällige Version von Log4j verweist. Dieser Beispielcode ist standardmäßig nicht direkt von der Sicherheitsanfälligkeit betroffen, da er zwar auf Log4j verweist, aber nicht für seine Verwendung konfiguriert ist. Wir haben das Beispiel jedoch aktualisiert, um sicherzustellen, dass auf eine sichere Version von Log4j verwiesen wird. Kunden, die unseren Java-Beispielcode als Grundlage für ihre eigenen Komponenten verwenden, wird empfohlen, ihren Code entsprechend zu aktualisieren.

Verweis: Details CVE-2021-44228