Vor kurzem wurde eine kritische Sicherheitslücke (CVE-2021-44228) in einem weit verbreiteten Software-Framework Apache Log4j entdeckt. Securosys-Produkte und -Dienstleistungen sind frei von dem Framework von Apache Log4j und daher nicht von dieser Sicherheitslücke betroffen.
Diese Sicherheitswarnung befasst sich mit CVE-2021-44228, einer Sicherheitslücke in Apache Log4j, die Remotecodeausführung ermöglicht. Die Sicherheitslücke ermöglicht die nicht authentifizierte Remotecodeausführung und wird ausgelöst, wenn eine speziell gestaltete Zeichenfolge, die vom Angreifer über verschiedene Eingabevektoren bereitgestellt wird, von der anfälligen Log4j-Komponente analysiert und verarbeitet wird.
Die Sicherheitslücke wurde vom BSI als hoch kritisch (Warnstufe Rot) eingestuft: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf
Das Apache Log4j Framework wird in keinem der Securosys-Produkte und -Dienstleistungen verwendet. Primus HSM, Securosys CloudsHSM, Securosys 365, Imunes TEE und Centurion Encryptors sind daher nicht betroffen. Lokale Softwarekomponenten wie PKCS#11, MS CNG und JCE APIs sowie der Transaction Security Broker (TSB) und die REST API sind ebenfalls nicht betroffen.