Die Dienste und Anwendungen von Password Boss sind von der Apache Log4j2-Sicherheitslücke (CVE-2021-44228) nicht betroffen.

Hintergrund
Am 10.12.2021 wurde eine schwerwiegende Sicherheitslücke im Java-basierten Logging-Framework log4j (CVE-2021-44228) gemeldet und begann, diese aktiv auf Systemen im gesamten Internet auszunutzen. Dieser Exploit, auch bekannt als „log4shell“ oder „shellshock“, ermöglicht die Remotecodeausführung.

Seit Bekanntwerden der Sicherheitslücke haben wir alle unsere Codebasen, die Abhängigkeitsinfrastruktur und Drittanbieter intensiv überprüft und untersucht, um festzustellen, ob Teile betroffen sind. Wir freuen uns, mitteilen zu können, dass keine Schwachstelle gefunden wurde.

Keiner unserer Webdienste ist in Java geschrieben und nutzt auch keinen Java-Code oder Java-Bibliotheken. Der einzige Java-Code in unserem Stack ist unsere Android-App, die gründlich geprüft wurde, einschließlich aller Abhängigkeiten. Log4j wird überhaupt nicht verwendet.

Sicherheit hat bei Password Boss höchste Priorität. Daher werden wir weiterhin Schwachstellen überprüfen und bewerten, sobald diese bekannt werden, um die Sicherheit in Ihren Umgebungen aufrechtzuerhalten und zu gewährleisten.