Grüße

H.

der Empfehlung des BSI folgend, kann durch das zusätzliches JVM Argument

-Dlog4j2.formatMsgNoLookups=True

die Lücke geschlossen werden. Da log4j nicht verwendet wird, entsteht grundsätzlich kein Nachteil, wenn Du dieser Empfehlung folgen möchtest. Um dieses Zusatzargument zu setzen, öffne bitte die Datei jag3d.l4j.ini mit einem beliebigen Texteditor. Dort kannst Du die Zeile einfach ergänzen, sodass der modifizierte Inhalt dann wie folgt aussieht:

-splash:resources/splash/JAG3D_255x255_splash.gif
-Xms200m 
-Xmx500m 
-Dlog4j2.formatMsgNoLookups=True

Die erste Zeile erzeugt den Splash-Screen, die beiden folgenden Zeilen reservieren 200 MB bzw. 500 MB Hautspeicher, und die vierte Zeile entspricht der Empfehlung des BSI. Alle Argumente, die dort aufgelistet sind, werden beim Starten der Applikation über die exe-Datei an die JVM delegiert. Wenn es Dir lieber ist, kann ich auch eine offizielle Version mit dieser Änderung zur Verfügung stellen.

Viele Grüße
Micha

aus aktuellem Anlass...ist JAG3D irgendwie davon betroffen?

Nein, JAG3D ist hiervon nicht betroffen. Zum einen wird die Bibliothek zum Loggen, log4j, nicht verwendet, siehe hierzu das lib-Verzeichnis von JAG3D (welches keine JAR mit dem Namen enthält). Zum anderen sind, soweit ich das verstehe, ausschließlich Applikationen betroffen, die eine Kommunikation mit dem Internet benötigen und bspw. eine HTTP-Verbindung zu einem Server aufbauen. JAG3D kommuniziert nicht mit einem externen Dienst über das Internet sondern ist eine Standaloneanwendung, die vollständig ohne eine Internetverbindung auskommt, siehe hierzu bspw. den Bericht bei Heise, Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Beide Szenarien kann ich für JAG3D nicht erkennen.

Viele Grüße
Micha

aus aktuellem Anlass...ist JAG3D irgendwie davon betroffen?

Grüße

H1