Teile diesen Artikel

SheerID-Antwort auf Log4j-Sicherheitslücke

Am 9. Dezember 2021 wurde eine Schwachstelle für Log4j öffentlich veröffentlicht. Log4j ist eine häufig verwendete Protokollierungsbibliothek der Apache Software Foundation, die in unzähligen Anwendungen auf der ganzen Welt verwendet wird. Da Angreifer versucht haben, die Sicherheitsanfälligkeit auszunutzen, ist sie zu einem weltweiten Problem geworden. Seit wir auf diese Sicherheitsanfälligkeit aufmerksam geworden sind, haben wir SheerID-Anwendungen und -Systeme evaluiert, um festzustellen, ob diese potenziell anfällig für diesen Exploit sind.

Keine Auswirkungen auf SheerID-Kunden
Die Informationssicherheits- und Engineering-Teams von SheerID haben bestätigt, dass alle kritischen Anwendungen und Dienste, die auf Kundendaten zugreifen, entweder aktualisiert wurden oder keine anfällige Version dieser beliebten Protokollierungsbibliothek verwenden. Durch diese Sicherheitsanfälligkeit sind keine Client-Überprüfungsdaten verloren gegangen oder beeinträchtigt.

Was machst du
Unsere Informationssicherheits- und Engineering-Teams haben alle potenziellen Auswirkungen dieser Sicherheitsanfälligkeit auf Service-Basis bewertet, priorisiert nach Kritikalität und Risikostufen. Unter Verwendung von Abhängigkeitsverwaltungskonfigurationen haben wir Dienste inventarisiert, die Log4J als direkte oder transitive Abhängigkeit verwenden, und haben bestätigt, dass kein Exploit vorhanden ist. Darüber hinaus arbeiten wir mit unseren integrierten Dienstleistern zusammen, um sicherzustellen, dass ihre Lösungen entsprechend korrigiert wurden.

Wir haben Versuche beobachtet, diese Sicherheitsanfälligkeit auszunutzen, jedoch keine erfolgreiche Ausnutzung in unserer Umgebung.

Wir beobachten die Situation weiterhin
Wir haben festgestellt, dass es keine Auswirkungen auf Systeme gibt, die Kundendaten enthalten. Wir werden diese Woche weiterhin Dienste mit geringerem Risiko bewerten und alle anfälligen Systeme abschwächen, entweder durch ein Upgrade auf eine gepatchte Version der Bibliothek oder durch die Konfiguration der JVM, um Lookups nicht zuzulassen, bis zum 12.

Wenn Sie ein Kunde mit Fragen oder Bedenken sind, wenden Sie sich bitte an Ihren SheerID-Kundendienstmanager. Wir werden diese Seite bei Bedarf aktualisieren.

Teile diesen Artikel