Log4j-Lücke: Drupal Wiki ist nicht betroffen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Medien warnen zu Recht vor eine Lücke in der Log4j-Bibliothek, welche in vielen Projekten zum Einsatz kommt.
Daher haben wir diesen Sicherheitsaspekt bereits am Wochenende eingänglich analysiert. Wir können hier jedoch Entwarnung geben: Da in Drupal Wiki generell keine direkten Nutzereingaben mit Log4j geloggt werden, wird das Einschleusen von Schadcode effektiv verhindert. Eine Gefährdung ist daher nicht gegeben.
Wie bei solchen Sicherheitslücken üblich, werden wir die entsprechenden Bibliotheken aktualisieren und heute Abend ein Release zur Verfügung stellen. Unsere Miet-Kunden (SaaS) und Kunden mit dem Wartungsservice „Remote-Direkt“ bekommen das Update direkt von uns eingespielt. OnDemand-Kunden steht das Update über den Update-Manager zur Verfügung.