Beschreibung (Dezember 2021)
siehe
- CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.
Lösung
PicApport selbst nutzt Log4j nicht. Allerdings werden Bibliotheken eingebunden die Log4j nutzen. Logausgaben mit Log4j von "außen" zu manipulieren ist uns bis jetzt nicht gelungen.
Selbstverständlich haben wir trotzdem alle von Apache vorgeschlagenen Lösungen in Version 10.3.01 umgesetzt:
- Ab PicApport Version 10.3.01 (siehe: Version 10Changelog Version 10) wird Log4j 2.16.0 ausgeliefert
Zusätzlich setzt PicApport beim Start implizit das System-Property log4j2.formatMsgNoLookups=true falls es nicht gesetzt ist. - Bei älteren PicApport Versionen ist beim Starten des PicApport Servers folgendes System-Property zu setzen:
-Dlog4j2.formatMsgNoLookups=true