Beschreibung der Schwachstelle:
Bei der Schwachstelle CVE‑2025‑68161 handelt es sich um eine Sicherheitslücke in Apache Log4j, die potenziell eine Offenlegung sensibler Informationen ermöglicht. Relevant wird die Schwachstelle, wenn Log4j in Verbindung mit Socket‑Appendern verwendet wird, da diese Netzwerkverbindungen zum Logging aufbauen und so ungewollte Informationsabflüsse ermöglichen können.
Die Auswirkung auf die LM Produktlinie wurde geprüft:
- Die Programme der LM Produktlinie verwenden im Lieferzustand und in der Standardeinstellung keine Socket‑Appender.
- Somit besteht im Auslieferungszustand kein Risiko aufgrund der beschriebenen Schwachstelle.
- Bei kundenspezifischen Installationen ist darauf zu achten, dass Socket‑Appender nicht durch eigene Log4j‑Konfigurationen aktiviert oder eingebunden werden, da dies eine Voraussetzung für die Ausnutzbarkeit wäre.
Maßnahmen & Ausblick
- Die verwendete Log4j2‑Bibliothek wird in den nächsten Versionen auf die aktuellste Version 2.25.3 aktualisiert.
- Bis zur Bereitstellung des Updates wird empfohlen, keine Socket‑Appender in kundenspezifischen Log‑Konfigurationen zu verwenden.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.