Ist Canto Cumulus vom log4j-Problem betroffen?
Die offizielle Aussage von Canto zur kritischen log4j-Schwachstelle lautet:
Im Grunde genommen ist diese Aussage korrekt, denn die kritische Schwachstelle in den log4j-Bibliotheken 2.0 bis 2.14.1 betrifft Canto Cumulus nicht, da bei Cumulus noch die alten Bibliotheken der Version 1.2.14 und 1.2.17 benutzt werden. Allerdings muss man aber auch betrachten, dass die log4j-Bibliotheken der Version 1.2.x End-of-life (Eol) sind, dort ebenfalls Schwachstellen bestehen und diese nicht mehr behoben werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher das Update auf log4j 2.16.0. Auch aus diesem Grund hat sich Canto entschieden Cumulus 11.1.8 für den Januar anzukündigen, damit Cumulus an allen relevanten Stellen auf log4j 2 umgestellt wird. Versprochen wurde zudem ein aktualisierter Apache Tomcat Web-Applikations-Server, der leider auch bei der gerade erst veröffentlichten Cumulus 11.1.7 Version ein wenig veraltet daher kommt und bekannte Schwachstellen besitzt.
Wenn Sie bereits jetzt Ihre Cumulus-Umgebung sicherer gestalten möchten, ziehen wir Ihre Cumulus Web-Lösungen gerne auf Apache Tomcat 8.5.73 um und versehen in dem Rahmen auch Ihre Web-Anwendungen mit der empfohlenen log4j-Bibliothek der Version 2.16.0.