Dear Ladies and gentlemen,

From the current perspective, there is no need for action on PDF-AS with regard to the log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046.

In detail, the problematic component for CVE-2021-44228 is in the logger backend implementation of log4j and thus in the file "log4j-core-xxx.jar", whereby all versions between 2.0.0 and <2.16.0 are affected. This does not affect, for example, the log4j API "log4j-api-xxx.jar", since it only provides the interface but no implementation, or log4j bridges, such as "log4j-to-slf4j-xxx.jar", as this only provides one Implementation forwarding to another logger framework (e.g. slf4j).

PDF-AS is not affected by CVE-2021-44228 and CVE-2021-45046 because PDF-AS does not use a log4j-based logger backend implementation. Any updates from third-party libraries are made as part of the maintenance releases that are regularly made available.

Kind regards,
The EGIZ Team

* * *

S.g. Damen und Herren,

Aus aktueller Sicht besteht bei PDF-AS kein Handlungsbedarf bezüglich der log4j Vulnerabilitäten CVE-2021-44228 und CVE-2021-45046.

Im Detail befindet sich die problematische Komponente für CVE-2021-44228 in der Logger-Backend-Implementierung von log4j und somit in der Datei "log4j-core-xxx.jar", wobei alle Versionen zwischen 2.0.0 und < 2.16.0 betroffen sind. Nicht davon betroffen sind z.B die log4j API "log4j-api-xxx.jar", da diese nur das Interface jedoch keine Implementierung bereitstellt, oder auch log4j Bridges, wie z.B. "log4j-to-slf4j-xxx.jar" da diese nur eine Weiterleitung an ein anderes Logger Framework (z.B. slf4j) implementieren.

PDF-AS ist von CVE-2021-44228 und CVE-2021-45046 nicht betroffen da in PDF-AS keine log4j basierte Logger-Backend-Implementierung in Verwendung ist. Etwaige Updates von Drittherstellerbibliotheken erfolgt im Zuge der regelmäßig zur Verfügung gestellten Wartungsreleases.

Mit freundlichen Grüßen,
Ihr EGIZ Team