Log4Shell-Schwachstelle in beA-Komponenten

16.12.2021

Wir weisen darauf hin, dass das Bundesamt für Sicherheit in der Informationstechnik am 10.12.2021 eine kritische Schwachstelle in einer Softwarekomponente gemeldet hat, die zahlreiche Anwendungen betrifft. Unter anderem waren auch beA-Komponenten betroffen. Die Schwachstelle konnte am vergangenen Samstag, dem 11.12.2021, in allen beA-Komponenten schnellstmöglich beseitigt werden. Mit einem Update wurde ein konfigurierbarer java_opts Parameter "-Dlog4j2.formatMsgNoLookups=true!" ergänzt, welcher die Sicherheitslücke schließt.
Zur Nutzung des beA ist zwingend eine Aktualisierung auf die Version 3.9.0.7 nötig. Bitte aktualisieren Sie diese auch unabhängig davon, ob Sie diese gegenwärtig nutzen. Hinweise zur Aktualisierung finden Sie hier.