Informationen zur Apache Log4j-Sicherheitslücke

Zero-Day-Schwachstelle (CVE-2021-44228) für die häufig verwendete Protokollierungsbibliothek für Java-basierte Software namens log4j

Am Freitag, 10. Dezember 2021, wurde die Zero-Day-Schwachstelle (CVE-2021-44228), für die häufig verwendete Protokollierungsbibliothek für Java-basierte Software namens log4j veröffentlicht.

Als Sicherheitsmaßnahme hat unser Team, seit der ersten Dokumentation der Schwachstelle eine vollständige Folgenabschätzung durchgeführt. Wir haben keine davon betroffene Komponente von PLANAT entwickelter Software identifiziert.

PLANAT verwendet keinerlei Java Komponenten, insbesondere auch nicht die betroffene log4j Bibliothek. Daher ist von PLANAT entwickelte Software von dieser Sicherheitsanfälligkeit nicht betroffen.

Bezüglich der in der PLANAT-Software verwendeten Drittanbieterkomponenten wurde uns von den jeweiligen Partnern bestätigt, dass Ihre Komponenten ebenfalls nicht betroffen sind.

Analysierte und als sicher identifizierte PLANAT- und Drittanbieterkomponenten:

- FEPA

- FEPA.DMS

- FEPA.app (iOS und Android)

- PLANAT Services (Core WebService, WCFService, RESTful APIs)

 

Seitens SAP wurde „KBA 3129956-CVE-2021-44228-BusinessObjects impact for Log4j vulnerability“ veröffentlicht. Hierbei wurden keine seitens PLANAT verwendeten Komponenten als betroffen eingestuft.

Partnersysteme: In der Anwendung eGECKO der CSS AG kommt Log4j als Logging-Framework zum Einsatz und ist somit betroffen. Der Hersteller hat bereits reagiert und eine aktualisierte Version zur Verfügung gestellt.

Wir überwachen ständig die Reaktion von Sicherheitsforschern und unseren Partnern um die weitere Entdeckung dieser und anderer Sicherheitslücken zu beobachten. Weitere Updates werden bei Bedarf auf dieser Seite veröffentlicht.

Produkte der Datafox GmbH (Datafox Hardware, die Datafox Kommunikationsbibliothek, Datafox Talk und das DatafoxStudioIV) sind von der aktuellen Log4Shell (CVE-2021-44228) Schwachstelle NICHT betroffen.

Empfehlung: Falls Ihr Unternehmen Schnittstellen zu Fremdsystemen in die PLANAT Software integriert hat, nehmen Sie bitte zu diesem Thema Kontakt mit Ihrem jeweiligen Softwarehersteller auf.