Sonstiges > Offtopic

Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

(1/3) > >>

shiraz:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095490

CarstenH:
Stand 15.12.2021 - 6. Update: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

TLDR:

Aktuell sind nur bestimmte Versionen eines Produkts betroffen (siehe nachfolgende Liste).


--- Zitat ---The following product IS affected:

AppDev Pack versions 1.0.5 - 1.0.10

--- Ende Zitat ---

Im Folgenden werden (mehr oder weniger) alphabetisch alle bereits getesteten und nicht betroffenen Produkte aus der N/D Produktreihe aufgeführt:


--- Zitat ---Testing is still ongoing for all products for vulnerability to Log4Shell. HCL will update this bulletin as the situation progresses if any additional actions are required.
The following products are NOT affected:

Companion for iOS
Domino Administrator
Domino Designer and XPages
Domino Server
Domino Volt
Enterprise Integrator (HEI)
iNotes
Lotus Workflow
Nomad for web browsers
Nomad Mobile for iOS and Android
Notes Client
SafeLinx
Sametime Mobile for iOS and Android
ToDo for iOS
Traveler
Traveler for Microsoft Outlook (HTMO)
Verse
Verse Mobile for iOS and Android
AppDev Pack versions <1.0.5 and >1.0.10
Client Application Access (CAA)

The product list will be updated as soon as new information is found.

--- Ende Zitat ---

HTH
Carsten

mind1:
Hallo zusammen,

ich habe mich schon gewundert, das das hier so ruhig ist heute und daraus geschlossen, dass es Domino nach jetzigem Wissensstand nicht betrifft.

HCL schreibt ja nur über BigFix Produkte:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095486

Ich bin mir aber nicht ganz sicher, ob das auch gilt, wenn man diesen Apache (ihs) auf dem Server laufen hat.

stoeps:
Log4j ist eine Java Bibliothek, der Apache HTTP Server (oder IBM HTTP Server) haben kein Java. Die werden "nur" von Apache gehostet/entwickelt. Der IHS ist ein rebrandeter Apache httpd  Also keine Gefahr, auch alle Apache 2.0 lizensierten Produkte haben nicht zwingend log4j an Board.

Die Advisories sind raus, für Connections gibt es Fixes von HCL und IBM. Domino ist nicht betroffen, Sametime weiss ich nicht, aber jitsi hat wohl log4j in der stats Komponente.

CarstenH:
Ich habe obige Liste mal auf den neuesten Stand gebracht, aktuell scheint nur das AppDev Pack in den Version 1.0.5 - 1.0.10 betroffen zu sein. Update auf Version 1.0.11 schafft Abhilfe.

HTH
Carsten

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln