Informationen zur Sicherheitslücke im log4j

15. Dez. 2021 | Service

Derzeit existiert eine Sicherheitslücke im log4j-Framework worüber es möglich ist, betroffene Systeme aus der Ferne zu übernehmen. Mithilfe dieses Frameworks können Entwickler auf einfache Weise eine Protokollierung in Ihren Programmen realisieren.

Durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eine entsprechende kritische Sicherheitsinformation mit Warnstufe Rot veröffentlicht. Das BSI empfiehlt hier neben einer Bestandsaufnahme, welche Systeme log4j nutzen, die Abschaltung nicht zwingend benötigter betroffener Systeme oder ein Update von log4j auf die aktuelle Version 2.15.0.

Folgende Informationen liegen uns derzeit vor:

  • SOG Softwarelösungen: SOG ERP, SOG WMS, SOG Windows Tools, SOG ActiveSetup basieren auf dem .NET-Framework 4.8 bzw. wurde in C# entwickelt. Das betroffene Java-Framework wird hier nicht eingesetzt.
  • DSI Soft – Online Shop und Messesystem Softwarelösungen:
    Die durch DSI Soft programmierten Lösungen nutzen aktuell eine Version des log4j-Framework die von dem Exploit nicht betroffen ist. Seitens DSI Soft wurden auch alle projektindividuellen Lösungen geprüft. Auch diese Prüfung erfolgte negativ, keine der bisher bekannten kritischen log4j Versionen waren im Einsatz.
    Hinweis: Obige Aussage bezieht sich nur auf die Lösungen von DSI Soft und auf DSI Soft Servern gehosteten Online Shops/Messesysteme. Wenn Sie eine eigene Infrastruktur betreiben, könnten Sie betroffen sein, da der benötigte Apache Tomcat das log4j-Framework ggf. beinhaltet. Hierzu kontaktieren Sie bitte direkt Ihren Administrator.
  • JMS – Varial Finanzbuchhaltung/ Personalwesen:
    Laut Aussage von JMS ist Varial nach einer ersten Prüfung nicht betroffen, obwohl die Software in Java programmiert wurde. Weiterführende Prüfungen werden durch die Spezialisten aktuell noch vorgenommen. Sobald das Ergebnis vorliegt, wird eine entsprechende Information kommuniziert.
    Hinweis: Ähnlich wie bei DSI Soft kann der für Webdienste/Webseiten ggf. genutzte Apache Tomcat betroffen sein, sofern entsprechende Module der Varial-Lösung im Einsatz sind.
  • ELO – Dokumentenmanagement System
    Das an das ERP-System anbindbare Dokumentenmanagement System ist konkret von der log4j Schnittstelle betroffen. Hier wurden aber seitens des Herstellers schon entsprechende Patches für ELO 11 und ELO 20 bereitgestellt. Kontaktieren Sie hier bitte Ihren Dienstleister für das ELO-System.

Diese News wird erweitert, sofern uns relevante Informationen zu Partner-Lösungen bzw. gängigen Anbindungen zu Fremdsystemen vorliegen.

Die obigen Aussagen beziehen sich auf den Zeitpunkt der Prüfung und den Informationen, die zu dem Zeitpunkt bekannt/kommuniziert sind. SOG übernimmt keine Gewährleistung für Aussagen Dritter.

← Zurück zur Newsübersicht