Sicherheitsthema Log4j

Kommentar verfassen / Software / Von

Am vergangenen Donnerstag wurde bekannt, dass in der Java-Bibliothek Log4j eine kritische Schwachstelle existiert. Diese vorher noch unbekannte, „Log4Shell“ genannte Schwachstelle wird laut Berichten von Cloudflare und anderen mindestens seit Anfang Dezember von Hackern aktiv ausgenützt. Wenn die Lücke erfolgreich ausgenützt werden kann, erlaubt sie es Hackern, auf betroffenen Systemen eigenen Code auszuführen und diese komplett zu übernehmen.

Für die betroffene Java-Bibliothek Log4j gibt es seit Freitag, dem 10. Dezember, ein Sicherheits-Update. Das NCSC ruft alle Unternehmen und Organisationen dazu auf, sofort alle Systeme, die mit dem Internet verbunden sind, zu patchen. Für interne Systeme solle man dies danach so schnell wie möglich nachholen.

https://www.inside-it.ch/de/post/log4shell-alarmstufe-rot-20211213

https://govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

IN:ERP Systeme

  • nutzt kein Java mit Ausnahme von Komponenten im Dokumentmappendruck. Finales Feedback steht noch aus.
  • Zu den Tools: Oracle / SQL-Developper siehe unter Oracle

IN:ERP – Tools (ATK, OE, etc.)

  • nutzt kein Java

Agenten / BusinessConnector

  • nutzt kein Java

IN:Finanz

  • Das Diamant Rechnungswesen ist nicht von der Schwachstelle betroffen, da es nicht auf Java basiert. Zusammen mit unseren Komponentenzulieferern behalten wir die Situation aber weiter im Auge.

IN:Time

  • E3CS, E3Time, E3Online, E3Mobile und Schnittstellen Nicht betroffen
  • BCOM (Terminalkommunikation DormaKaba) in Klärung

IN:BI

  • IN:BI Herstellerversion 2021.02 HotFix ftp://ftp.anica.ch/INERP-Software/R202101/INBI:
    WebUI: Patch 14
    ETL-Server: Patch 9
    WebRPC: Patch 14
  • Ältere Version kein Patch
  • Voraussetzung: IN:ERP Version 2021.01

Oracle

Tomcat

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert