Unsere Information zur Zero-Day-Lücke in Log4j

Statement in Bezug auf unsere Systeme
17. Dezember 2021 durch
Unsere Information zur Zero-Day-Lücke in Log4j
Equitania Team

Da sich aktuell die Anfragen zu der Sicherheitslücke Log4j häufen (siehe Artikel bei heise.de) haben wir hier die nötigen Informationen für Sie kurz zusammengefasst: 

Grundsätzlich besteht für Odoo Community und Enterprise Edition keine Gefahr, da keine java-basierten Technologien zum Tragen kommen. 

Dies wird auch im Odoo Forum z.B. hier näher erläutert: Odoo Forum

Die einzige Komponente, die es betreffen könnte, wäre die ElasticSearch Integration. Diese läuft jedoch in einem abgekapselten Docker Container, auf den man von außen keinen Zugriff hat. An dieser Stelle ist nach unserem Wissenstand also kein Angriff von außen möglich, wenn Ihr System die Docker Container über eine Firewall schützt.

Aktuell arbeiten wir ohnehin an der Umstellung der Systeme auf OpenSearch, die bereits einige nötige Patches bereitstellt.

Stellen Sie aber sicher, dass auf Ihrer Server-Installation eine gepatchte Java Version läuft. Auf unseren Managed Server Instanzen ist keine JRE installiert. Ferner patchen wir unsere Server regelmäßig und haben eine doppelte Firewall Absicherung.