Am Freitag, den 10. Dezember 2021, wurde die unbekannte Zero-Day-Schwachstelle(CVE-2021-44228) für die häufig verwendete Logging-Bibliothek für Java-basierte Software namens log4j bekannt gegeben.
ProcessMaker BPM und seine Integrationen benötigen kein Java, verwenden also nicht die log4j-Bibliothek und sind daher nicht von dieser Sicherheitslücke betroffen.
Als Sicherheitsmaßnahme hat unser Team seit der ersten Dokumentation der Schwachstelle eine vollständige Folgenabschätzung durchgeführt, und wir haben festgestellt, dass keine von ProcessMaker angebotene Komponente oder Dienstleistung betroffen ist.
Die Komponenten wurden analysiert und als sicher eingestuft:
- ProcessMaker Cloud (Cloud-Webanwendungen, RESTful APIs, API-Gateways)
- ProcessMaker Web (Öffentliche Website)
- ProcessMaker Unterstützung (Zendesk)
- Sicherungsdienste (AWS Backup, AWS S3)
Zurzeit gibt es keine Komponenten, die als anfällig für die Sicherheitslücke identifiziert wurden.
Wir beobachten ständig die Reaktionen von Sicherheitsforschern, um die weitere Entdeckung dieser und anderer Sicherheitslücken zu beobachten. Weitere Aktualisierungen werden bei Bedarf auf dieser Seite veröffentlicht.
Bis 6 PM ET, 13. Dezember 2021