Ist die ForumSuite vom Log4Shell Problem CVE-2021-44228 betroffen?

Die FORUM Gesellschaft für Informationssicherheit hat unmittelbar nach Bekanntwerden der Sicherheitslücke „log4shell“ in der Java-Bibliothek „log4j2“ eine umfassende Schwachstellenanalyse vorgenommen und Kontakt zu den Softwareherstellern der von durch uns eingesetzten Drittanwendungen aufgenommen.

Die Analyse ergab, dass unsere Softwareplattform „FORUM Suite“ sowie die von uns intern genutzten Anwendungen nicht von der Schwachstelle betroffen waren. Die Bibliothek „Log4j2“ ist aufgrund einer Abhängigkeit aus dem von uns genutzten Software-Frameworks „Spring Boot“ zwar in den Installationsdateien der Java Plattform der FORUM Suite enthalten, wird jedoch nicht durch die Software genutzt. In den Dateien für die HCL Domino Plattform ist die fragliche Bibliothek nicht enthalten. Daher bestand zu keinem Zeitpunkt eine mögliche Gefährdung für Anwender unserer Software durch die Sicherheitslücke.

Unabhängig davon wurden sämtliche von den Herstellern verfügbaren Updates und Patches umgehend nach deren Verfügbarkeit durch uns in unserer Systemlandschaft eingespielt und mit dem Release 2022-01 auch unsere eigene Software auf die zum Releasezeitpunkt neueste verfügbare Version 2.17.1 der Bibliothek Log4J2 aktualisiert. Diese wird weiterhin nicht durch unsere Software verwendet.

Eventuelle Kompromittierungen unserer Systeme wurden nicht festgestellt.