Diese Sicherheitslücke wird mittlerweile vom BSI, Bundesamt für Sicherheit in der Informationstechnik, in die höchste Warnstufe „Rot“ eingestuft. LOG4j wird in vielen Systemen verwendet, um Protokolldaten zu erzeugen. Viele Softwarehersteller nutzen dieses Programm als Standardroutine. Damit ist die Anzahl der betroffenen Systeme hoch und alle Hersteller müssen genau prüfen, inwieweit sie betroffen sind.
Laut BSI-Pressemeldung vom 11.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar. „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“, so das BSI.
In diesem Portal Github finden Sie eine umfangreiche Liste über den Update-Status verschiedener Hersteller.
Wir informieren Sie in diesem Beitrag über Stellungnahmen und eventuellen Updates der Hersteller, mit denen wir zusammenarbeiten!
Sophos - Hersteller für Sicherheitssoftware - kann mittlerweile die Schwachstelle erkennen und abwehren. Er empfiehlt alle Systeme, Anwendungen und Dienste in den Firmen auf die Verwendung von LOG4j zu prüfen. In erster Linie sollte man sich auf internetbasierte Dienste konzentrieren und alle Aktualisierungsinformationen beachten.
Herstellerinformationen :
- Sage
Die Produkte von Sage sind bis auf zwei Ausnahmen nicht von der Sicherheitslücke betroffen. Es handelt sich dabei um Sage CRM und das Dokumentenmanagement bzw. die Digitale Personalakte.
Weiter detaillierte Informationen entnehmen Sie bitte dem WDB Eintrag.
- DocuWare
Der größte Teil der DocuWare Produkte verwendet überhaupt kein Java und ist daher nicht betroffen. Einige wenige Produktteile verwenden die betroffene Bibliothek, sind aber nicht oder nicht mehr betroffen.
Im angefügten Dokument finden Sie die Stellungnahme von DocuWare. - CAS - genesisWorld
Die CAS-Analyse hat ergeben, dass die kritische Bibliothek log4j-core im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch zum Einsatz kommt. Alle anderen java-basierten Komponenten und Dienste in CAS genesisWorld verwenden Log4j nach derzeitigem Kenntnisstand nicht bzw. lediglich die Schnittstellen-Bibliothek log4j-api, welche nicht von der Sicherheitslücke betroffen ist. Zur kurzfristigen Behebung können Sie im Server Manager von CAS genesisWorld den Dienst ElasticSearch deaktivieren. Damit steht dann in Konsequenz die SmartSearch nicht mehr zur Verfügung. Weitere detaillierte Informationen finden Sie hier.
Die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld werden die potenzielle Ausnutzung dieser Sicherheitslücke verhindern.