go:Identity Security Bulletin 2021-12_001 - Log4j Vulnerability

    (English version: see below)

    Sicherheitslücke in Apache Log4j betrifft go:Identity (CVE-2021-44228)

    Es gibt eine Schwachstelle in der Apache Log4j Open-Source-Bibliothek, die von der go:Identity Webapplikation verwendet wird. Diese Sicherheitsanfälligkeit wurde vom COGNITUM Software Support behoben.

    Alle Systeme sind potenziell anfällig für diese Sicherheitslücke.

    Was soll ich tun

    COGNITUM Software hat eine Sicherheitsupdate-Patch-Version (2.5.4) bereitgestellt, um diese Sicherheitslücke zu schließen. Dieses Update steht nun allen Kunden mit einem aktiven Wartungsvertrag als Teil des Update-Repositories zur Verfügung (siehe Kapitel "Appliance Update Functions (app)" / "Appliance Update Funktionen (app)" im Konfigurationshandbuch). Wenn Sie Ihre go:Identity-Installation mit dem Standard-Update-Mechanismus auf Version 2.5.4 aktualisieren, wird in Ihrer Installation die Sicherheitslücke geschlossen.


    Wenn Sie derzeit kein Update installieren möchten oder können, ergreifen Sie bitte mindestens die folgenden Maßnahmen:


    1. Melden Sie sich mit einem Administrator über einen SSH-Client oder die SSH-Konsole bei der Appliance an.

    2. Wechseln in den Ordner mit den Libraries ihrer Installation:

    /usr/jails/idm-frontend.goidentity.itconcepts.local/<application server folder>/webapps/goIdentity/WEB-INF/lib/
    3. In diesem Ordner tauschen Sie die folgenden Jar files
    • log4j-api-2.x.x.jar
    • log4j-core-2.x.x.jar
    • log4j-slf4j-impl-2.x.x.jar
    • log4j-web-2.x.x.jar
         mit den aktuellten Versionen (2.17.1 oder neuer) aus.
    4. Starten Sie den go:Identity Frontend Server neu

    Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den COGNITUM Software Servicedesk (servicedesk@cognitum-software.com).

    Vulnerability in Apache Log4j affects go:Identity (CVE-2021-44228)

    There is a vulnerability in the Apache Log4j open source library used by go:Identity application. This affects the web application of go:Identity. This vulnerability has been addressed by COGNITUM Software Support.

    All systems are potentially vulnerable to this exploit.

    What should I do

    COGNITUM Software has provided a security update patch version (2.5.4) to close this vulnerability. This update is now available to all customers with an active maintenance contract as part of the update repository (see chapter "Appliance Update Functions (app)"/ ”Appliance Update Funktionen (app)” in the configuration manual). If you update your go:Identity installation to version 2.5.4 using the standard update mechanism your installation will be save.


    If you do not currently want to or cannot install an update, please take at least the following measures:


    1. Log in to the appliance with an administrative user using ssh client or console.

    2. Change to the folder

    /usr/jails/idm-frontend.goidentity.itconcepts.local/<application server folder>/webapps/goIdentity/WEB-INF/lib/

    3. In that folder replace the Jar files

    • log4j-api-2.x.x.jar
    • log4j-core-2.x.x.jar
    • log4j-slf4j-impl-2.x.x.jar
    • log4j-web-2.x.x.jar

        with the latest versions (2.17.1 or newer).

    4. Restart the go:Identity web service:


    If you need additional details or assistance, please contact the COGNITUM Software Servicedesk (servicedesk@cognitum-software.com).

    Published