Im Dezember 2021 wurde eine kritische Sicherheitslücke in der Java-Protokollierungsbibliothek Log4j gefunden.
Die Schwachstelle ermöglicht es Angreifern, Remotecode auszuführen, d. h. sie können jeden beliebigen Code ausführen und auf alle Daten auf dem betroffenen Rechner zugreifen.
Sie ist in der CVE-Datenbank als CVE-2021-44228 registriert. Diese Sicherheitslücke betrifft nur Apache Log4j Versionen zwischen 2.x und 2.15.0-rc1.
Die Log4j-Bibliothek wurde in den folgenden Archicad-Versionen verwendet:
- Log4j 1.2.7 wurde vom Energy Evaluation Add-on bis zu Archicad 20 verwendet.
- Log4j 1.2.8 wurde von Usagelog und Bug Report Submitter bis Archicad 19 verwendet.
Die BIMcloud– und CodeMeter-Komponenten verwendeten die Log4j-Bibliothek nicht. Daher sind von den Benutzern keine weiteren Maßnahmen erforderlich.
Auch wenn unsere Produkte nicht von der Sicherheitslücke betroffen sind, gilt dies möglicherweise nicht für andere Add-ons von Drittanbietern. Bitte kontaktieren Sie die Entwickler der Add-ons für weitere Informationen.