DocuWare Installationen sind nicht von der Log4j Sicherheitslücke betroffen

Michael Bochmann Aktualisiert von Michael Bochmann

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 11.12.2021 vor einer kritischen Schwachstelle in der beliebten Protokollierungsbibliothek für Java-Anwendungen "Log4j" mit der höchsten Warnstufe "4/Rot": Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)

Laut unseren aktuellen Erkenntnissen sind aktuelle DocuWare, JobRouter und ABBYY Installation und DocuScan Module NICHT betroffen.

Produkt

Java

log4j

Betroffen

DocuScan Module

NEIN

NEIN

NEIN

DocuWare Dienste

NEIN

NEIN

NEIN

DocuWare Fulltext

JA

log4j Version 1.2.x (nicht betroffen)

NEIN

DocuWare WebClient*

NEIN

NEIN

NEIN

Connect to SAP Version 2**

JA

NEIN

NEIN

JobRouter

NEIN

NEIN

NEIN

ABBYY Flexi Capture

NEIN

NEIN

NEIN

*Der DocuWare Fulltext Server nutzt zwar Java, die eingesetzte Version von log4j ist aber 1.2.x die nicht von der Sicherheitslücke betroffen ist.

**Die Varelmann Module nutzen zwar Java, zur Protokollierung wird aber die Logging-Bibliothek SLF4J verwendet, die nicht betroffen ist.

Dieser Hinweis bezieht sich ausschließlich auf DocuWare/JobRouter/ABBYY/Varelmann/DocuScan Softwarekomponenten die von DocuScan bereitgestellt wurden.

Wir beobachten die Situation sehr genau und informieren Sie umgehend, sollte sich etwas an dieser Beurteilung ändern.

Produkte von DocuScan

Einige Produkte unter anderem StorageRobot und XchangeConnect verwenden das Loggingmodul log4net. Trotz der Ähnlichkeit im Namen ist log4net ebenfalls nicht von der Sicherheitslücke betroffen.

Wie waren wir?

Sonderzeichen (&, < und >) und Umlaute in XML-Konfigurationsdateien

Prüfung auf neue Updates liefert unerwartete Meldung

Support