Wie viele JAVA-Programme verwendet auch ARTBUTLER PRO die log4j-Bibliothek zur Speicherung von Programmausgaben wie zb internen Fehlermeldungen, dies ist jedoch kein Anlass zur Besorgnis, da ARTBUTLER PRO von der Sicherheitslücke nicht betroffen ist.
Nach Aussagen des BSI hat „diese kritische Schwachstelle [...] demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.“[1]
Die Ausnutzung der Sicherheitslücke erfordert, dass ein Angreifer aus dem Internet/Netzwerk heraus direkt Anfragen an ARTBUTLER PRO stellen kann, diese Funktionalität stellt ARTBUTLER PRO jedoch grundsätzlich nicht zur Verfügung. Zudem müsste ein Angreifer Einfluss auf den von log4j gespeicherten Text nehmen können, auch dies ist nicht möglich, da es keine Nutzereingaben gibt, die direkt im Protokoll verwendet werden.
Alle von der Sicherheitslücke betroffenen Funktionen dieser Bibliothek dienen zur Protokollierung von Programmereignissen über ein Netzwerk - diese Funktionen werden von ARTBUTLER PRO jedoch ebenfalls nicht genutzt, da alle Protokolle direkt auf dem Rechner abgelegt werden, auf dem ARTBUTLER PRO installiert ist.
Die Nutzung dieser Funktionen ist per Konfiguration vollständig ausgeschlossen und kann auch nicht nachträglich aktiviert werden. Die Bibliothek selbst ist im Programm gekapselt, so dass sie auch anderen Programmen grundsätzlich nicht zur Verfügung steht.
Der ARTBUTLER-SERVER verwendet die log4j-Bibliothek nicht.
[1] BSI: Kritische Schwachstelle in log4j, veröffentlicht (CVE-2021-44228)