Meldung zuletzt aktualisiert: 15.12.2021 | 19:38 Uhr
Am Wochenende meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle in der Software-Bibliothek log4j, welche für zahlreiche Java-Anwendungen verwendet wird. Die Kritikalität dieser Schwachstelle wurde als sehr hoch eingestuft.
Wir haben die Thematik für die ZMI Programme (insbesondere ZMI – WebClient) analysiert und sind zum Ergebnis gekommen, dass diese kein Logging auf Basis von „log4j“ nutzen. In Bezug auf die Applikationen von Drittanbietern sind wir in enger Abstimmung mit den jeweiligen Herstellern und veröffentlichen an dieser Stelle die entsprechenden Sicherheitsmeldungen:
Datafox
Datafox Produkte (Datafox Hardware, die Datafox Kommunikationsbibliothek, Datafox Talk und das DatafoxStudioIV) sind von der aktuellen Log4Shell (CVE-2021-44228) Schwachstelle nicht betroffen.
dormakaba B-COMM
Die Überprüfung aktueller Versionen >5.0.0 hat ergeben, dass keine der betroffenen Funktionen standardmäßig verwendet werden. Stichproben von älteren Versionen wie 3.18.x und 4.1.3 haben ebenfalls bestätigt, dass keine der betroffenen Funktionen verwendet werden.
PCS INTUS COM / DEXICON
Die Bibliothek log4j wird in DEXICON 5.4, sowie dem HTTPS-Server von INTUS COM 3.4 und INTUS COM 3.5 eingesetzt. Ältere Versionen von DEXICON und INTUS COM setzen diese Bibliothek nicht ein und sind damit weiterhin sicher. Weitere Informationen und eine Schritt-für-Schritt-Anleitung für das Schwachstellen-Fix finden Sie hier: https://www.pcs.com/die-pcs/aktuelles/presse-und-news/detailansicht/_/aktuelle-information-zur-sicherheitsmeldung-des-bsi-java-log4j
Uhlmann & Zacher ClexPrime
Wir verwenden ausschließlich im ClexPrime – Keyvi3 die Crystal-Reports.Net für Print-outs und Reports. Die Komponente SAP Crystal Report installiert zwar log4j mit, aber laut Rücksprache mit SAP sind diese BusinessObjects/Crystal-Reports von der Lücke nicht betroffen, bedeutet die betroffenen log4j-Versionen werden laut SAP gar nicht mitverwendet. In unserer Software selbst, ist log4j, sprich Java gar nicht vorhanden und hat auch keinerlei Referenz auf die log4j in den Crystal-Reports.
ASTRUM VISIT
Die Lösung ist von der Sicherheitslücke nicht betroffen.
Qognify Cayuga R15, R16, R17
Cayuga nutzt die Bibliothek Log4j im Core und im Devicemanagement. Wir freuen uns, Ihnen mitteilen zu können, dass nun bereits Patches für diese beiden Dienste vorliegen. Diese Patches werden Ihnen automatisch auf ihren Cayuga Updateserver heruntergeladen, sofern Sie den Update über die Website von Qognify aktiviert haben. Sie finden Sie diese Patches wie die anderen Patches auch im Patchverzeichnis. Die gefährdeten Versionen von Core und Devicemanagement vom Patchtag haben wir gleich um die Patches von heute ersetzt. Cayuga R14 und frühere Versionen sind nicht von der Log4j Lücke betroffen, Sie brauchen hierfür also nichts zu tun. Nach dem Einspielen der Patches in Ihr Cayuga-System bietet Cayuga keine Angriffsmöglichkeit mehr.
TSplus
TSplus verwendet log4net und nicht log4j. Die Sicherheitslücke gilt daher nicht für das Produkt.
Unabhängig davon empfehlen wir Ihnen zu prüfen, inwiefern andere Komponenten in Ihrer IT-Landschaft betroffen sein könnten und welche Updates / Patches für diese bereitgestellt werden. Weiterhin bitten wir zu beachten, dass wir keine Aussage über Fremdsoftware (wie bspw. Lohnabrechnungssoftware, ERP-Systeme, HRM-Systeme, etc. ) treffen können, die mittels Schnittstellen angebunden wurde.
Weiterführende Informationen zur Log4Shell Schwachstelle finden Sie unter:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html