Die bewährte Content Collaboration Platform (CCP) und File Sync&Share-Lösung (EFSS) PowerFolder ist nicht von der Schwachstelle CVE-2021-4428 der Log4j-Protokollierungsbibliothek für Java-Anwendungen betroffen und kann bedenkenlos weiter eingesetzt werden; auch das verwendete Partner-Produkt ONLYOFFICE Docs ist sicher.
Meerbusch, 15.12.2021 – Anfang der Woche hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste IT-Bedrohungslage „4/Rot“ ausgerufen. Anlass ist eine Schwachstelle namens „Log4Shell“ (auch CVE-2021-44228) in der weit verbreiteten Protokollierungsbibliothek „Log4j“ für Java-Anwendungen, die es Angreifern ermöglicht, Server relativ einfach aus der Ferne zu übernehmen und dort Schadsoftware auszuführen. Dadurch weisen nun die Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken auf, wie das BSI mitteilt. Die bewährte Content Collaboration Platform (CCP) und File Sync&Share-Lösung (EFSS) PowerFolder ist indes aber nicht von „Log4Shell“ (CVE-2021-4428) betroffen, da bei PowerFolder in der Software nicht die Bibliothek „Log4j“ verwendet, sondern stattdessen ein im Java-System nativ implementierter Protokollmechanismus genutzt wird. Auch das verwendete Partner-Produkt, die in PowerFolder integrierte Office-Lösung „ONLYOFFICE Docs“, ist ebenfalls nicht von der Sicherheitslücke betroffen. PowerFolder kann also bedenkenlos weiter eingesetzt werden.
Was ist Log4j? Und wo ist die Schwachstelle?
Log4j ist eine Open-Source-Protokollierungsbibliothek für Java-Anwendungen. Mit ihrer Hilfe können IT-Abteilungen beobachten, was in auf Java basierenden Programmen passiert, um so beispielsweise Fehler im Programmablauf zu finden. Die erste Version wurde vor etwa 21 Jahren veröffentlicht und ist mittlerweile so etwas wie der Logging-Standard geworden. Sie wird weltweit von tausenden von Unternehmen und Behörden eingesetzt, darunter auch Größen wie Apple, Google, Tesla oder Amazon. Die jetzt entdeckte Schwachstelle erlaubt es, dass bestimmte Zeichenfolgen die Sicherheitsmechanismen ungehindert passieren können und unter Umständen von Log4j als Befehl interpretiert werden. Dadurch können auf Servern leicht Befehle ausgeführt werden, die es Angreifern ermöglichen, Schadsoftware nachzuladen oder die Server zu übernehmen. In den ersten 72 Stunden nach Bekanntwerden der Sicherheitslücke zählten Sicherheitsunternehmen fast eine Million Server-Attacken. Betroffen sind die Log4j-Versionen 2.0-beta9 bis 2.14.1.
Über PowerFolder
Das deutsche Unternehmen dal33t GmbH mit Sitz in Meerbusch bei Düsseldorf entwickelt und vertreibt seit 2007 erfolgreich seine Content Collaboration Platform (CCP) und File Sync & Share (EFSS) mit dem Markennamen PowerFolder. Das Angebot umfasst sowohl öffentliche, aber auch integrierte Private Cloud-Lösungen als individualisierte On-Premise-Dienste. Über vier Millionen User weltweit, die meisten der deutschen Hochschulen und tausende Unternehmen nutzen PowerFolder. PowerFolder-Nutzer können von überall auf ihre Dateien zugreifen und diese auch gemeinsam bearbeiten und teilen – auch mobil über die PowerFolder-App. Sicherheit hat dabei absolute Priorität: Die Daten werden stets verschlüsselt und konform zur Europäischen Datenschutz-Grundverordnung (EU-DSGVO) auf ISO-27001-zertifizierten Servern in Deutschland gespeichert. PowerFolder wird vom Bundesministerium für Wirtschaft gefördert und ist Träger des Siegels „IT Security Made in Germany“.
Pressekontaktdaten:
dal33t GmbH / PowerFolder
Niederlöricker Straße 62
40667 Meerbusch
Matthias Steinwachs
Tel: +49 2132 9792298
E-Mail: steinwachs(at)powerfolder.com
Web: www.powerfolder.com
