CVE-2021-44228/CVE-2021-45046: Updates
14.12.2021
Die Sicherheitslücke "log4shell" (CVE-2021-44228) erfordert einige Updates auf den Systemen am Institut. Auf den PCs und den Compute-Server (gruenaus, guppis) wurde der aktuelle Patch von OpenSuse installiert. Die Services, die direkt oder indirekt die Java-Bibliothek "log4j" nutzen, wurden geprüft und erhielten entweder ein Update oder wurden deaktiviert. Die Deaktivierung betrifft aber nur Systemen, die nicht direkt von der NutzerInnen zugreifbar sind. Es werden auf diesen Systemen zeitnah Updates eingespielt.
NutzerInnen sind angehalten eigene Software-Projekte und selbst betriebene Systeme (z.B. VM am Institut) bzgl. dieser Sicherheitslücke zu prüfen und Updates einzuspielen.
Das CMS hat in der HU-Box weitere Informationen.
Update für CVE-2021-45046:
Die PCs in den Pools und die Compute-Server wurden erneut gepatcht. Der JNDI-Support ist nun standardmäßig deaktiviert.
Der Patch-Stand ist nun: 2.13.0-4.6.1 bzw. 2.13.0-lp152.3.3.1
Weitere Information für OpenSuse gibt es hier.