Information-Log4j-Sicherheitslücke

Wichtige Informationen zur Information-Log4j-Sicherheitslücke

Guten Tag liebe Leser,

auf dieser Seite möchten wir Ihnen alle Informationen bezgl. der Log4j-Sicherheitslücke bereitstellen die wir gesammelt haben.

Ob die Anwendungen sicher sind kann tatsächlich nur von einem Entwickler der Anwendung selber (Beispielhaft Sage Software) beantwortet werden.

Falls Sie dennoch Fragen dazu haben können Sie uns jederzeit kontaktieren. Hier aber direkt noch einige Ratschläge unsererseits:

  • Aufpassen was man aus dem Internet herunter lädt
  • Virenscanner immer aktuell halten
  • Firewall aktuell halten und zu lesen was gemeldet wird, wenn diese anschlägt
  • Bei E-Mail-Anhängen genau hinzuschauen von wem die Mail kommt und was anhängt
  • Windows und Installierte Programme immer aktuell halten
  • Datenaustausch zwischen privater Hardware, Fremdhardware und Firmenhardware grundsätzlich unterlassen
  • Keine USB-Sticks beim Start im Gerät stecken lassen

Stand 20.12.2021 (Quelle: Heise.de)

Erster Wurm „kriecht“ durch Log4j-Sicherheitslücke

Die Bedrohungslage verschärft sich: Sicherheitsforscher haben den ersten Wurm entdeckt, der die Log4j-Lücke zur automatischen Weiterverbreitung missbraucht.

Die Log4j-Sicherheitslücke wird immer gefährlicher. Auf die ersten, noch manuellen Angriffe und Scans von IT-Sicherheitsforschern folgen jetzt automatisierte Versuche, die Sicherheitslücke auszunutzen. Nachdem einige Forscher vorsichtig spekuliert hatten, dass die Lücke ein Wurm-Potenzial hätte, holt sie die Realität nun ein: Sicherheitsforscher haben Varianten der Mirai-Botnet-Drohnen aufgespürt, die Wurm-artig verwundbare Server befallen und sich automatisch weiter verbreiten.

>>>weiterlesen

Stand 17.12.2021

Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)

Auswirkungen auf Sage-Produkte Die Produkte von Sage sind, bis auf eine Ausnahme, nicht von der Sicherheitslücke betroffen. Dabei handelt es sich um Sage CRM. Soweit die Komponente in unseren Produkten enthalten ist haben wir in der Tabelle entsprechende Details und Hinweise erfasst

HIER ZUM DOKUMENT VON SAGE SOFTWARE>>> #211124 20211217 Kritische Schwachstelle in log4j

Stand 16.12.2021

Eine kürzlich bekanntgewordene Sicherheitslücke im Java Baustein Log4j gefährdet weltweit Millionen Onlineanwendungen und Apps. Die kritische Schwachstelle CVE-2021-44228 in der beliebten log4j-core-Bibliothek für die Protokollierung kann zur Remoteausführung von Code durch andere Parteien führen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert.

Leider sind auch Komponenten der d.velop-Software potenziell davon betroffen.

Was bedeutet das für Sie?

Wir arbeiten bereits in einem dedizierten Team mit Hochdruck daran, potenziell betroffene Komponenten zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Ihr System auszuschließen.

Um Sie permanent auf dem Laufenden zum Stand der Dinge zu halten, finden Sie ab sofort als zentrale Anlaufstelle einen neuen Knowledge-Base-Artikel im d.velop service portal:

https://kb.d-velop.de/s/article/000001798

Hier werden wir alle Updates, potenziell betroffene Komponenten, Links zu Patches und weitere Hintergrund-Informationen permanent ergänzen.

Auch eventuell von Ihnen zu treffende vorbeugende Maßnahmen werden wir in diesem Artikel darstellen.

Bitte schauen Sie dort regelmäßig vorbei.

Weitere Hintergründe und genauere Informationen zu der Schwachstelle finden sich unter anderem hier:

Was tun bei Fragen?

Sollten Sie darüber hinaus Fragen oder Unsicherheiten zu Ihrer konkreten Situation in Ihrem Unternehmen oder Ihrer Organisation haben, wenden Sie sich bitte direkt an den d.velop-Support unter support@d-velop.de. Wir unterstützen Sie nach Kräften bei allen Herausforderungen, die diese Sicherheitslücke unter Umständen mit sich bringen wir

Stand 16.12.2021

Informationen für die HR Suite/LohnXL zur BSI Warnung – Schwachstelle in Java Log4j

Sehr geehrte Damen und Herren,

wir möchten Sie darüber informieren, dass die Java Log4j Schwachstellen weder die HR Suite noch den Lohn XL betreffen.

Der HR Data Service setzt in .NET-Code umgewandelte Java-Bibliotheken zur Prüfung von elektronischen Meldungen im Bereich der Sozialversicherung ein (Kernprüfung). Die Deutsche Rentenversicherung, welche den Softwareherstellern diese Komponenten zur Verfügung stellt, hat uns informiert, dass „Log4j“ nicht eingebunden ist.

Jedoch sind Komponenten der d.velop-Software (Digitale Personalakte) davon betroffen.

Die Schwachstelle betrifft die d.velop Cloud-Systeme (z.B. d.velop documents, d.velop postbox, d.velop documents light, d.velop sign) – die Komponenten der Desktopprodukte wurden seitens d.velop geprüft und sind NICHT betroffen.

In den Sage Produkten (Sage 50 Handwerk, Sage HR Suite, Sage ERP) wird d.velop documents verwendet. Dort ist NUR die Aufgabenverwaltung betroffen. (Task, Process und Kickstart4Process) – noch ist d.velop in der Prüfung der Komponenten. Sollte sich dort eine Schwachstelle finden, so wird seitens d.velop automatisiert ein entsprechendes Patch installiert. Es gibt seitens Sage, der Business Partner oder der Endkunden selbst KEIN To Do. Die Aktualisierung erfolgt automatisch bei jedem Kunden.

Stand 16.12.2021

Auswirkungen auf Sage-Produkte

Die Produkte von Sage sind bis auf zwei Ausnahmen nicht von der Sicherheitslücke betroffen.

Dabei handelt es sich um Sage CRM und das Dokumentenmanagement bzw. die Digitale Personalakte.

Soweit die Komponente in unseren Produkten enthalten ist haben wir in der nachfolgenden Tabelle hinweise erfasst.

 

Produkt

Betroffen von CVE-2021-44228

Detail

 

 

Sage 50 Connected (SmartFinder)
Sage 50 Handwerk (SmartFinder)

Nein

Das im SmartFinder verwendete ApacheSolr 5.3.1 wird per Default auf die Weise ausgeliefert und installiert, dass es den RollingFileAppender benutzt. Dieser kann technisch keine JNDI Anfragen erstellen. Aus diesem Grund ist der SmartFinder und damit auch Sage50 Connected sowie Sage50 Handwerk von diesen Schwachstellen CVE-2021-44228 & CVE-2021-4104 nicht betroffen.

 

Sage b7

Nein

Llog4j-1.*.jar wird verwendet aber in der Properties-Datei der JMS Appender über die Eigenschaften ist TopicBindingName oder TopicConnectionFactoryBindingName nicht gesetzt

Sage ERP

Nein

Kein Java Technologie Stack

Sage 100

Nein

Kein Java Technologie Stack

xRM 

Nein

Kein Java Technologie Stack

HR Suite

Nein

Kein Java Technologie Stack

LohnXL

Nein

Kein Java Technologie Stack

Sage Business Cloud Payroll

Nein

Kein Java Technologie Stack

SOO

Nein

Kein Java Technologie Stack

Sage Wincarat

Nein

Kein Java Technologie Stack

X3

Nein

Wenn die Installation nach den Security Guidelines erfolgt ist, besteht kein Risiko. Falls die Guidelines nicht beachtet wurden, gibt es eine Komponente, die ggf. ein Update erfordert um sie abzusichern. Es handelt sich dabei um Elastic Search und ein Update ist bereits auf der Hersteller Website verfügbar

Sage CRM

Ja

Das SageCRM-Team will für die aktuell unterstützten Versionen Patches liefern.
Für folgende Versionen sind sie bereits im Test:
Sage CRM 2020 R2
Sage CRM 2021 R1
Sage CRM 2021 R2

Sobald sie verfügbar sind, wird von uns ein WDB-Artikel mit den Downloads veröffentlicht.

Quelle:

https://www.sagecity.com/sage-global-solutions/sage-crm/f/sage-crm-announcements-news-and-alerts/178655/advisory-apache-log4j-vulnerability-cve-2021-44228

 

OL24 / Sage100 Hosting

Nein

Kein Java Technologie Stack

Sage New Classic / SNC Webclient

Nein

Kein Java Technologie Stack

Sage Online-Portale (ServiceWelt, PartnerForum, SupportCenter usw.)

Nein

Kein Java Technologie Stack

d.velop (S100 DMS, HR DPA)

Ja

In den Desktopprodukten ist kein Tool betroffen, das Sage-seitig genutzt wird.

 

Sollte im Folgegeschäft der „Presentation-Server“ genutzt werden, müssen kundenindividuell die Webapps der Log4j Bibliothek aktualisiert werden

In den Cloudprodukten ist die „Aufgabenverwaltung“ betroffen. Bei den Cloudprodukten erfolgt ein automatisches Patch durch d.velop.

 

Bei Nutzung des Presatation Servers (z.B. für Workflowengine) muss eine manuelle Anpassung erfolgen. Da es sich hier jedoch nicht um eine Standardkomponente handelt, die im Sage Server Setup genutzt wird, sondern nur bei Folgegeschäft zum Tragen kommt, informieren Sie sich bitte bei d.velop über den folgenden Link:

https://kb.d-velop.de/s/article/000001798

TMS Archiv (HR)

Nein

 

E-Bilanz HSH

Nein

Opti.Tax und entsprechende OEM Client Versionen sind von dieser Java Sicherheitslücke nicht betroffen. Log4j wird von uns nicht verwendet.

Es besteht kein Handlungsbedarf.

 

Webshop epages

Nein

Nach jetzigem Stand (14.12.2021) ist der Shop von epages nicht direkt betroffen. Lediglich die Logfile Aggregation mit Logstash und Elasticsearch benutzt die betroffene Bibliothek. Dafür hat epages gestern einen Workaround eingespielt.

Sage 50 Handwerk mobile Objects

Nein

Unser Webservice ist nicht von dem Problem betroffen

Sage 50 Handwerk Cloud (powered by Loginfinity)

Nein

Kein Java Technologie Stack