Willkommen beim hilfezentrum von WalkMe

Please login in order to continue:

Work flows better with WalkMe
Work flows better with WalkMe.

Apache Log4j Remote Code Execution CVE-2021-44228

Last Updated August 7, 2025

Hintergrund

Am 9. Dezember 2021 wurde eine neu entdeckte, kritische Schwachstelle in der Zero-Day-Umgebung mit nicht authentifizierter Remotecodeausführung (RCE) (CVE-2021-44228, CVE-2021-4104) in der Open-Source-Java-Protokollierungsbibliothek Apache Log4j gemeldet. Log4j ist in viele geläufige Frameworks integriert, was zur Verbreitung der Auswirkungen beigetragen hat. Es lässt sich leicht ausnutzen und ermöglicht Angreifern, die volle Kontrolle über betroffene Server zu erlangen.

Erklärung

WalkMe ist sich dieser Schwachstelle bewusst und hat die Überprüfung abgeschlossen, dass dieses Problem keine direkten Auswirkungen auf WalkMe-Produkte oder Dienste hat.

WalkMe führt derzeit eine umfassende Bewertung durch, um die potenziellen indirekten Auswirkungen des Log4j-Vorfalls auf interne und Client-IT-Umgebungen zu bestimmen. Dieses Vorgehen beinhaltet notwendigerweise die Untersuchung aller potenziellen mit Log4j verbundenen Risiken oder Schwachstellen unserer Auftragnehmer.

Für alle unsere betroffenen internen Dienste haben wir die log4j2-Bibliothek gepatcht und die gepatchten Dienste in der Produktion bereitgestellt.

Dienste, die in der Client-Umgebung des Kunden ausgeführt werden:

WalkMe-Produkte Status Beschreibung
WalkMe Player Nicht betroffen Client-seitige JS-App. Kein Log4j direkt/indirekt verwendet.
WalkMe Editor Nicht betroffen Chrombasiertes Elektron. Client-seitige JS-App. Kein Log4j direkt/indirekt verwendet.
WalkMe Desktop Nicht betroffen Client-seitige C#- und Java-App. Kein Log4j direkt/indirekt verwendet.
WalkMe Extension Nicht betroffen WalkMe-Browsererweiterungen sind JS-Apps. Kein Log4j direkt/indirekt verwendet.
WalkMe Mobile SDK Nicht betroffen WalkMe Mobile SDK für Android und iOS verwendet kein Log4j.

Dienste, die von WalkMe verwaltet und gehostet werden:

WalkMe-Produkte Status Beschreibung
WalkMe Insights Nicht anfällig Keine direkte anfällige Nutzung von Log4j.
WalkMe Mobile Nicht anfällig Die verwendete Log4j-Version ist nicht anfällig.
WalkMe-Plattform Nicht anfällig Keine direkte anfällige Nutzung von Log4j.

Wir arbeiten an der Identifizierung von Anwendungen und Diensten, die auf Apache Log4j angewiesen sind. Diese Anwendungen werden bei Bedarf überprüft und aktualisiert, um die Erkennung und Minderung von Risiken aus dem jüngsten Log4j-Sicherheitsproblem zu verbessern.

Wir führen einen gründlichen Scan dieser Dienste und Hosts durch. Insbesondere der Exploit für CVE-2021-44228 beruht auf bestimmten Mustern in Protokollnachrichten und Parametern, z. B. ${jndi:(ldap[s]?|rmi|dns):/[^n]+. Für jeden potenziell betroffenen Dienst führen wir eine Protokollanalyse durch, um Exploit-Versuche aufzudecken.

Auswirkung

Bisher sind wir der Auffassung, dass keines unserer Produkte ausgenutzt werden konnte. Wir arbeiten eng mit Anbietern in der gesamten Lieferkette zusammen, um sicherzustellen, dass auch sie Untersuchungen und Behebungsmaßnahmen abschließen.

Erforderliche Maßnahmen

Für WalkMe SaaS und WalkMe selbst gehostete Implementierungen ist keine Kundenaktion erforderlich.

WalkMe kennt die von Behörden mitgeteilten Empfehlungen und überwacht weiterhin die Kommunikation und bewertet, ob kritische Empfehlungen auf Betriebskomponenten von WalkMe zutreffen.

Generell rät WalkMe allen Kunden, die ihre eigenen nicht-WalkMe-bezogenen Umgebungen mit Log4j2 2.0 bis 2.15 verwalten, nachdrücklich, auf Log4j-2.16.0 oder höher zu aktualisieren und ihre Lieferketten-Anbieter zu kontaktieren, um gegebenenfalls Patches anzufordern.

Update: 17. Dezember 2021

Im Anschluss an unsere vorherige Erklärung bestätigen wir, dass WalkMe von der Schwachstelle CVE-2021-45046 nicht betroffen ist. CVE-2021-45046 erzielt aufgrund der Auswirkungen der aufrufbaren Bedingung einen niedrigeren CVSS-Score von 3,7.

Für WalkMe SaaS und WalkMe selbst gehostete Implementierungen ist keine Kundenaktion erforderlich.

WalkMe wird weiterhin aktualisiert, sobald zusätzliche Informationen verfügbar sind. Für weitere Informationen oder Unterstützung wenden Sie sich bitte an den WalkMe Support.

War dies hilfreich?

Vielen Dank für Ihr Feedback!

Be part of something bigger.

Engage with peers, ask questions, share ideas

Ask the Community
×