CDESK3 in den Versionen bis 3.0.194.0 enthält die betroffene Bibliothek in der Version 2.00 bis 2.14 mit dem Fehler.
Sie wurde in der Bibliothek für die Arbeit mit XLS-Dateien für Export und Import sowie im Rahmen der Komponente Tomcat lokalisiert, die beide bisher nur für den Produktiveinsatz vorbereitet waren.
Die betreffende XLS-Bibliothek und Tomcat entfernen wir auf Servern mit gültigem Support ohne Update des gesamten Servers. In der Produktion verbleibt die ältere XLS-Bibliothek, die zwar ebenfalls die Log4j-Bibliothek enthält, jedoch in einer älteren Version ohne Schwachstelle, und wird im Laufe des nächsten Jahres ersetzt.
In keinem anderen Teil von CDESK3 kommt die Log4J-Bibliothek vor, weder bei der Installation direkt auf dem Server noch bei der dockerisierten Version.
CDESK2 – verwendet diese neue XLS-Bibliothek nicht, aber da der Code mit CDESK3 gemeinsam ist, ist eine Bereinigung auch in diesem Fall erforderlich.
CUSTOMER MONITOR betrifft die Komponenten Guacamole und den C-Monitor Linux/Mac-Client. Guacamole wird einschließlich des Eingriffs in CDESK3 behandelt. Der C-Monitor Linux-Client hat zwar noch eine Version niedriger als 2.00, die ohne Schwachstelle ist, aber es ist bereits ein Update mit der neuesten Bibliothek in Entwicklung und wir gehen davon aus, dass wir es innerhalb weniger Tage auf der Download-Seite www.customermonitor.sk/download. freigeben.
Auf allen Servern mit gültigem Support führen unsere Administratoren die Korrektur bis zum 23.12.2021 durch, sofern kein Hindernis bei der Verbindung zum Server besteht.
Mit Kunden, bei denen eine Verbindung zur Freigabe erforderlich ist, vereinbaren wir uns individuell.