Willkommen im Online-Support von SoSci Survey.

Hier bekommen Sie schnelle und fundierte Antworten von anderen Projektleitern und direkt von SoSci Survey.

→ Eine Frage stellen


Welcome to the SoSci Survey online support.

Simply ask a question to quickly get answers from other professionals, and directly from SoSci Survey.

→ Ask a Question

+1 vote

Hallo zusammen,

ist die Installation von SoSci Survey auf einem eigenen Server von der aktuell vom BSI gemeldeten Sicherheitslücke in log4j https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek betroffen?

Die Informationssicherheit möchte von mir dazu ein Statement haben.

Vielen Dank im Voraus

in SoSci Survey (dt.) by s201556 (130 points)

1 Answer

+1 vote
 
Best answer

Nach aktuellem Stand gehen wir mit hoher Sicherheit davon aus, dass SoSci Survey von der Sicherheitslücke CVE-2021-44228 nicht betroffen ist.

SoSci Survey selbst verwendet die Bibliothek log4j nicht, weil es sich bei SoSci Survey um eine PHP-basierte Web-Applikation handelt, die auch in anderen Komponenten kein Java verwenden. Auch die üblicherweise zum Betrieb von SoSci Survey eingesetzten Programme apache2, nginx und MySQL bzw. MariaDB sind nicht Java-basiert.

Sofern Sie den Server mit einer Basis-Konfiguration wie oben skizziert betreiben, sollte darauf kein Java installiert sein, und der Server mithin auch nicht von der Log2Shell Sicherheitslücke betroffen sein.

Auf einem Linux-Server können Sie mit folgender Zeile prüfen, ob Sie überhaupt jar-Dateien auf dem Server verwenden:

sudo find / -name *jar

Sofern Java auf Ihrem Server generell installiert ist, gibt es von MergeBase ein Java-Programm, welches JAR-Dateien nach Verwendung der vulnerablen Bibliothek durchsucht: log2j-detector. Wir verweisen lediglich auf diese Option, der Einsatz der Software von Drittanbietern unterliegt selbstverständlich Ihrer Verantwortung.

by SoSci Survey (206k points)
selected by s201556
...