da seit dem Wochenende diverse Pressemeldungen zu einer Java-Sicherheitslücke erschienen sind, möchten wir dazu Stellung nehmen.
Die in dieser BSI-Meldung genannte Java-Bibliothek Log4j finden Sie auch in einigen
bookhit-Programmen. Diese Bibliothek ist nur deshalb vorhanden, weil sie Teil des Java-Paketes ist. Dazu zwei wichtige Hinweise:
-
Diese Bibliothek wird von keinem Programm aus dem Haus bookhit-GmbH genutzt und stellt damit keine Sicherheitslücke dar.
-
Alle Dateien des Schemas log4j*.jar innerhalb der Installationsverzeichnisse unserer Programme können bedenkenlos gelöscht werden, es wird keinen Einfluß auf die
Funktionsfähigkeit der Programme haben.
Da die Bibliothek Log4j nicht genutzt wird, auch nicht durch installierte Dienste unserer Software, brauchen Sie nicht tätig zu werden. Das heißt jedoch nicht, daß Programme / Dienste anderer Hersteller diese Bibliothek in ihrem Installationsumfang auch enthalten und diese Programme / Dienste die Bibliothek auch nutzen.
Von unserer Seite können wir Entwarnung geben, alle Programme aus unserem Haus sind bzgl. der Log4Shell-Schwachstelle sicher.
Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.