Hinweise zu Log4j / Log4shell - Information regarding Log4j / Log4shell - CVE-2021-44228
Incident Report for Personio GmbH
Resolved
This incident has been resolved.
Posted Dec 14, 2021 - 11:44 CET
Monitoring
Das Sicherheitsteam von Personio hat die kürzlich veröffentlichte Sicherheitslücke in log4j (CVE-2021-44228), die Remote-Code-Ausführung ermöglicht, genau beobachtet.

Obwohl log4j bei Personio keine weit verbreitete Komponente ist, wurden die wenigen Einsatzbereiche, die wir haben, entweder bereits gepatcht oder es wurden abschwächende Maßnahmen implementiert, die eine Code-Ausführung unterbinden, bis ein Patch von den entsprechenden Anbietern für jede Komponente veröffentlicht wird.

Wir werden die Situation weiterhin genau beobachten und Sie auf dem Laufenden halten, sollte sich der Status hierzu ändern.

Bei weiteren Fragen oder Bedenken wenden Sie sich bitte an den Personio-Support (support@personio.de).

Zusatz vom 15. Dezember 2021:
Das Sicherheitsteam von Personio ist sich der zusätzlichen Log4J-Schwachstelle (CVE-2021-45046) bewusst und prüft aktiv die Auswirkungen.

Obwohl Log4j bei Personio keine weit verbreitete Komponente ist, werden die wenigen Instanzen, die wir haben, aktualisiert, sobald Patches von den Anbietern zur Verfügung gestellt werden.

Wir werden die Situation weiterhin genau beobachten und Updates bereitstellen, sollte sich der Status ändern. Bei weiteren Fragen oder Bedenken wenden Sie sich bitte an den Personio Support (support@personio.de).

---

Personio's Security Team has been closely monitoring the recently published Log4j remote code execution vulnerability (CVE-2021-44228).

While Log4j is not a prevalent component at Personio, the few instances we do have have either already been patched or have had mitigating controls deployed pending a patch being released by the relevant vendors for each component.

We will continue to monitor the situation closely and provide updates should the status change. For any additional questions or concerns, please reach out to Personio Support (support@personio.de).

Addendum, December 15, 2021:
Personio's Security Team is aware of the additional Log4J vulnerability (CVE-2021-45046) and is actively assessing impact.

While Log4j is not a prevalent component at Personio, the few instances we do have are being updated as patches are made available by the vendors.

We will continue to monitor the situation closely and provide updates should the status change. For any additional questions or concerns, please reach out to Personio Support (support@personio.de).
Posted Dec 13, 2021 - 15:44 CET
This incident affected: System Verfügbarkeit (System availability).