Wichtige Informationen zur Information-Log4j-Sicherheitslücke
Guten Tag liebe Leser,
auf dieser Seite möchten wir Ihnen alle Informationen bezgl. der Log4j-Sicherheitslücke bereitstellen die wir gesammelt haben.
Ob die Anwendungen sicher sind kann tatsächlich nur von einem Entwickler der Anwendung selber (Beispielhaft Sage Software) beantwortet werden.
Falls Sie dennoch Fragen dazu haben können Sie uns jederzeit kontaktieren. Hier aber direkt noch einige Ratschläge unsererseits:
- Aufpassen was man aus dem Internet herunter lädt
- Virenscanner immer aktuell halten
- Firewall aktuell halten und zu lesen was gemeldet wird, wenn diese anschlägt
- Bei E-Mail-Anhängen genau hinzuschauen von wem die Mail kommt und was anhängt
- Windows und Installierte Programme immer aktuell halten
- Datenaustausch zwischen privater Hardware, Fremdhardware und Firmenhardware grundsätzlich unterlassen
- Keine USB-Sticks beim Start im Gerät stecken lassen
Stand 20.12.2021 (Quelle: Heise.de)
Erster Wurm „kriecht“ durch Log4j-Sicherheitslücke
Die Bedrohungslage verschärft sich: Sicherheitsforscher haben den ersten Wurm entdeckt, der die Log4j-Lücke zur automatischen Weiterverbreitung missbraucht.
Die Log4j-Sicherheitslücke wird immer gefährlicher. Auf die ersten, noch manuellen Angriffe und Scans von IT-Sicherheitsforschern folgen jetzt automatisierte Versuche, die Sicherheitslücke auszunutzen. Nachdem einige Forscher vorsichtig spekuliert hatten, dass die Lücke ein Wurm-Potenzial hätte, holt sie die Realität nun ein: Sicherheitsforscher haben Varianten der Mirai-Botnet-Drohnen aufgespürt, die Wurm-artig verwundbare Server befallen und sich automatisch weiter verbreiten.
Stand 17.12.2021
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)
Auswirkungen auf Sage-Produkte Die Produkte von Sage sind, bis auf eine Ausnahme, nicht von der Sicherheitslücke betroffen. Dabei handelt es sich um Sage CRM. Soweit die Komponente in unseren Produkten enthalten ist haben wir in der Tabelle entsprechende Details und Hinweise erfasst
HIER ZUM DOKUMENT VON SAGE SOFTWARE>>> #211124 20211217 Kritische Schwachstelle in log4j
Stand 16.12.2021
Eine kürzlich bekanntgewordene Sicherheitslücke im Java Baustein Log4j gefährdet weltweit Millionen Onlineanwendungen und Apps. Die kritische Schwachstelle CVE-2021-44228 in der beliebten log4j-core-Bibliothek für die Protokollierung kann zur Remoteausführung von Code durch andere Parteien führen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert.
Leider sind auch Komponenten der d.velop-Software potenziell davon betroffen.
Was bedeutet das für Sie?
Wir arbeiten bereits in einem dedizierten Team mit Hochdruck daran, potenziell betroffene Komponenten zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Ihr System auszuschließen.
Um Sie permanent auf dem Laufenden zum Stand der Dinge zu halten, finden Sie ab sofort als zentrale Anlaufstelle einen neuen Knowledge-Base-Artikel im d.velop service portal:
https://kb.d-velop.de/s/article/000001798
Hier werden wir alle Updates, potenziell betroffene Komponenten, Links zu Patches und weitere Hintergrund-Informationen permanent ergänzen.
Auch eventuell von Ihnen zu treffende vorbeugende Maßnahmen werden wir in diesem Artikel darstellen.
Bitte schauen Sie dort regelmäßig vorbei.
Weitere Hintergründe und genauere Informationen zu der Schwachstelle finden sich unter anderem hier:
- Bundesamt für Sicherheit in der Informationstechnik (BSI) – fortlaufend aktualisiert
- lunasec.io
- mitre.org
- randori.com
Was tun bei Fragen?
Sollten Sie darüber hinaus Fragen oder Unsicherheiten zu Ihrer konkreten Situation in Ihrem Unternehmen oder Ihrer Organisation haben, wenden Sie sich bitte direkt an den d.velop-Support unter support@d-velop.de. Wir unterstützen Sie nach Kräften bei allen Herausforderungen, die diese Sicherheitslücke unter Umständen mit sich bringen wir
Stand 16.12.2021
Informationen für die HR Suite/LohnXL zur BSI Warnung – Schwachstelle in Java Log4j
Sehr geehrte Damen und Herren,
wir möchten Sie darüber informieren, dass die Java Log4j Schwachstellen weder die HR Suite noch den Lohn XL betreffen.
Der HR Data Service setzt in .NET-Code umgewandelte Java-Bibliotheken zur Prüfung von elektronischen Meldungen im Bereich der Sozialversicherung ein (Kernprüfung). Die Deutsche Rentenversicherung, welche den Softwareherstellern diese Komponenten zur Verfügung stellt, hat uns informiert, dass „Log4j“ nicht eingebunden ist.
Jedoch sind Komponenten der d.velop-Software (Digitale Personalakte) davon betroffen.
Die Schwachstelle betrifft die d.velop Cloud-Systeme (z.B. d.velop documents, d.velop postbox, d.velop documents light, d.velop sign) – die Komponenten der Desktopprodukte wurden seitens d.velop geprüft und sind NICHT betroffen.
In den Sage Produkten (Sage 50 Handwerk, Sage HR Suite, Sage ERP) wird d.velop documents verwendet. Dort ist NUR die Aufgabenverwaltung betroffen. (Task, Process und Kickstart4Process) – noch ist d.velop in der Prüfung der Komponenten. Sollte sich dort eine Schwachstelle finden, so wird seitens d.velop automatisiert ein entsprechendes Patch installiert. Es gibt seitens Sage, der Business Partner oder der Endkunden selbst KEIN To Do. Die Aktualisierung erfolgt automatisch bei jedem Kunden.
Stand 16.12.2021
Auswirkungen auf Sage-Produkte
Die Produkte von Sage sind bis auf zwei Ausnahmen nicht von der Sicherheitslücke betroffen.
Dabei handelt es sich um Sage CRM und das Dokumentenmanagement bzw. die Digitale Personalakte.
Soweit die Komponente in unseren Produkten enthalten ist haben wir in der nachfolgenden Tabelle hinweise erfasst.
Produkt | Betroffen von CVE-2021-44228 | Detail
|
Sage 50 Connected (SmartFinder) | Nein | Das im SmartFinder verwendete ApacheSolr 5.3.1 wird per Default auf die Weise ausgeliefert und installiert, dass es den RollingFileAppender benutzt. Dieser kann technisch keine JNDI Anfragen erstellen. Aus diesem Grund ist der SmartFinder und damit auch Sage50 Connected sowie Sage50 Handwerk von diesen Schwachstellen CVE-2021-44228 & CVE-2021-4104 nicht betroffen.
|
Sage b7 | Nein | Llog4j-1.*.jar wird verwendet aber in der Properties-Datei der JMS Appender über die Eigenschaften ist TopicBindingName oder TopicConnectionFactoryBindingName nicht gesetzt |
Sage ERP | Nein | Kein Java Technologie Stack |
Sage 100 | Nein | Kein Java Technologie Stack |
xRM | Nein | Kein Java Technologie Stack |
HR Suite | Nein | Kein Java Technologie Stack |
LohnXL | Nein | Kein Java Technologie Stack |
Sage Business Cloud Payroll | Nein | Kein Java Technologie Stack |
SOO | Nein | Kein Java Technologie Stack |
Sage Wincarat | Nein | Kein Java Technologie Stack |
X3 | Nein | Wenn die Installation nach den Security Guidelines erfolgt ist, besteht kein Risiko. Falls die Guidelines nicht beachtet wurden, gibt es eine Komponente, die ggf. ein Update erfordert um sie abzusichern. Es handelt sich dabei um Elastic Search und ein Update ist bereits auf der Hersteller Website verfügbar |
Sage CRM | Ja | Das SageCRM-Team will für die aktuell unterstützten Versionen Patches liefern. Sobald sie verfügbar sind, wird von uns ein WDB-Artikel mit den Downloads veröffentlicht. Quelle:
|
OL24 / Sage100 Hosting | Nein | Kein Java Technologie Stack |
Sage New Classic / SNC Webclient | Nein | Kein Java Technologie Stack |
Sage Online-Portale (ServiceWelt, PartnerForum, SupportCenter usw.) | Nein | Kein Java Technologie Stack |
d.velop (S100 DMS, HR DPA) | Ja | In den Desktopprodukten ist kein Tool betroffen, das Sage-seitig genutzt wird.
Sollte im Folgegeschäft der „Presentation-Server“ genutzt werden, müssen kundenindividuell die Webapps der Log4j Bibliothek aktualisiert werden In den Cloudprodukten ist die „Aufgabenverwaltung“ betroffen. Bei den Cloudprodukten erfolgt ein automatisches Patch durch d.velop.
Bei Nutzung des Presatation Servers (z.B. für Workflowengine) muss eine manuelle Anpassung erfolgen. Da es sich hier jedoch nicht um eine Standardkomponente handelt, die im Sage Server Setup genutzt wird, sondern nur bei Folgegeschäft zum Tragen kommt, informieren Sie sich bitte bei d.velop über den folgenden Link: |
TMS Archiv (HR) | Nein | |
E-Bilanz HSH | Nein | Opti.Tax und entsprechende OEM Client Versionen sind von dieser Java Sicherheitslücke nicht betroffen. Log4j wird von uns nicht verwendet. Es besteht kein Handlungsbedarf.
|
Webshop epages | Nein | Nach jetzigem Stand (14.12.2021) ist der Shop von epages nicht direkt betroffen. Lediglich die Logfile Aggregation mit Logstash und Elasticsearch benutzt die betroffene Bibliothek. Dafür hat epages gestern einen Workaround eingespielt. |
Sage 50 Handwerk mobile Objects | Nein | Unser Webservice ist nicht von dem Problem betroffen |
Sage 50 Handwerk Cloud (powered by Loginfinity) | Nein | Kein Java Technologie Stack |