Liebe Contao-Community,
ich bin kompletter Laie, was Contao betrifft, deswegen verzeiht mir, falls die Frage überflüssig ist: Ist Contao in irgendeiner Weise von der Java Log4j-Lücke betroffen, die seit kurzem besteht?
Vielen Dank für die Mühe!
Druckbare Version
Liebe Contao-Community,
ich bin kompletter Laie, was Contao betrifft, deswegen verzeiht mir, falls die Frage überflüssig ist: Ist Contao in irgendeiner Weise von der Java Log4j-Lücke betroffen, die seit kurzem besteht?
Vielen Dank für die Mühe!
Log4j ist eine Java Library. Contao nutzt PHP (und JavaScript). Direkt also nicht - aber die jeweilige Server Umgebung deines Hosters könnte kompromittiert sein. Da kann dir dein Hoster Auskunft geben.
Super, dann weiß ich Bescheid. Vielen Dank für die schnelle Hilfe!
Falls es interessant sein sollte; man kann die folgende Umgebungsvariable (WIN) setzen um zumindest die ersten beiden Lücken zu behandeln (bis log4j 2.16) bis Sicherheitsupdates der betroffenen Systeme erscheinen.
Eine neue Lücke (DDoS) existiert auch mit der 2.17.Code:LOG4J_FORMAT_MSG_NO_LOOKUPS=true
https://www.bsi.bund.de/SharedDocs/C...cationFile&v=4
Dran denken, dass ältere Java-Versionen keine Sicherheitsupdate mehr bekommen.
https://en.wikipedia.org/wiki/Java_version_history
Gruß
tschero