Nach aktuellem Stand gehen wir mit hoher Sicherheit davon aus, dass SoSci Survey von der Sicherheitslücke CVE-2021-44228 nicht betroffen ist.
SoSci Survey selbst verwendet die Bibliothek log4j nicht, weil es sich bei SoSci Survey um eine PHP-basierte Web-Applikation handelt, die auch in anderen Komponenten kein Java verwenden. Auch die üblicherweise zum Betrieb von SoSci Survey eingesetzten Programme apache2, nginx und MySQL bzw. MariaDB sind nicht Java-basiert.
Sofern Sie den Server mit einer Basis-Konfiguration wie oben skizziert betreiben, sollte darauf kein Java installiert sein, und der Server mithin auch nicht von der Log2Shell Sicherheitslücke betroffen sein.
Auf einem Linux-Server können Sie mit folgender Zeile prüfen, ob Sie überhaupt jar-Dateien auf dem Server verwenden:
sudo find / -name *jar
Sofern Java auf Ihrem Server generell installiert ist, gibt es von MergeBase ein Java-Programm, welches JAR-Dateien nach Verwendung der vulnerablen Bibliothek durchsucht: log2j-detector. Wir verweisen lediglich auf diese Option, der Einsatz der Software von Drittanbietern unterliegt selbstverständlich Ihrer Verantwortung.