Dear Ladies and gentlemen,

From the current point of view, there is no urgent need for action at MOA-SPSS with regard to the log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046.

In detail, the problematic component for CVE-2021-44228 is in the logger backend implementation of log4j and thus in the file "log4j-core-xxx.jar", whereby all versions between 2.0.0 and <2.16.0 are affected. This does not affect, for example, the log4j API "log4j-api-xxx.jar", since it only provides the interface but no implementation, or log4j bridges, such as "log4j-to-slf4j-xxx.jar", as this only provides one Implementation forwarding to another logger framework (e.g. slf4j).

MOA-SPSS is not affected by CVE-2021-44228 and CVE-2021-45046 because the latest version 3.1.4 does not use a vulnerable log4j version in MOA-SPSS. Any updates from third-party libraries are made as part of the maintenance releases that are regularly made available.

Kind regards,
The EGIZ Team

* * *

S.g. Damen und Herren,

Aus aktueller Sicht besteht bei MOA-SPSS kein dringender Handlungsbedarf bezüglich der log4j Vulnerabilitäten CVE-2021-44228 und CVE-2021-45046.

Im Detail befindet sich die problematische Komponente für CVE-2021-44228 in der Logger-Backend-Implementierung von log4j und somit in der Datei "log4j-core-xxx.jar", wobei alle Versionen zwischen 2.0.0 und < 2.16.0 betroffen sind. Nicht davon betroffen sind z.B die log4j API "log4j-api-xxx.jar", da diese nur das Interface jedoch keine Implementierung bereitstellt, oder auch log4j Bridges, wie z.B. "log4j-to-slf4j-xxx.jar" da diese nur eine Weiterleitung an ein anderes Logger Framework (z.B. slf4j) implementieren.

MOA-SPSS ist von CVE-2021-44228 und CVE-2021-45046 nicht betroffen da in MOA-SPSS auch in der aktuellsten Version 3.1.4 keine vulnerable log4j Version in Verwendung ist. Etwaige Updates von Drittherstellerbibliotheken erfolgt im Zuge der regelmäßig zur Verfügung gestellten Wartungsreleases.

Mit freundlichen Grüßen,
Ihr EGIZ Team