Unten in diesem Beitrag finden Sie regelmäßig aktualisierte Updates mit weiteren Informationen und Angaben zur Behebung der Sicherheitslücken.
Unsere Meldung vom 13.12.2021 zur log4j Gefährdung
Unten in diesem Beitrag finden Sie aktualisierte Informationen zur Behebung der Sicherheitslücken
Aufgrund der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Mitteilung bzgl. der aktuellen Gefährdung im Zusammenhang mit der in Java-Anwendungen häufig eingesetzten Bibliothek log4j erreichen uns aktuell viele Anfragen.
Hinsichtlich der folgenden Produkte stehen wir derzeit in regem Austausch mit den Software-Herstellern und erwarten in den nächsten Stunden eine offizielle Aussage:
- Das CRM System CAS genesisWorld
- Die ERP-Software mesonic WinLine
- Softwareprodukte von Sage
Sobald diese uns vorliegt, werden wir Sie umgehend informieren.
Bzgl. des SMC OpenServers, welcher die log4j-Bibliothek ebenfalls verwendet, beurteilen wir das Risiko als gering, da der SMC OpenServer in der Regel nicht von extern erreichbar ist. Dennoch werden wir im heutigen Tagesverlauf zeitnah ein Setup zur Verfügung stellen, welches die korrigierte log4j-Bibliothek beinhaltet.
Bei Rückfragen steht unser Support-Team Ihnen gerne zur Verfügung.
Quelle: Kritische Schwachstelle in log4j veröffentlicht, CVE-2021-44228 https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Schwachstelle_Log4j_211210.html
Update 14.12.21 – CAS genesisWorld
Information der CAS Software AG:
- Die kritische Bibliothek log4j-core wird im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch eingesetzt.
- Alle anderen java-basierten Komponenten und Dienste in CAS genesisWorld verwenden Log4j nach derzeitigem Kenntnisstand nicht bzw. lediglich die Schnittstellen-Bibliothek log4j-api, welche nicht von der Sicherheitslücke betroffen ist.
Zur kurzfristigen Behebung stehen Ihnen folgende Lösungsansätze zur Verfügung:
Möglichkeit 1:
Sie können im Server Manager von CAS genesisWorld den Dienst ElasticSearch deaktivieren. Damit steht dann in Konsequenz die SmartSearch nicht mehr zur Verfügung.
Möglichkeit 2:
Navigieren Sie auf dem/den Applikationsserver(n) zu der Datei
„C:\Program Files (x86)\Common Files\CAS-Software\Server\JavaServices\elasticsearch\elasticsearch.xml“.
Öffnen Sie die Datei und navigieren Sie zum Eintrag
<executable>%JAVASERVICES_HOME%\jdk-11.xxxxxx\bin\java.exe</executable>
Hinweis: hier könnte auch anstelle des jdk-… ein jre-… Verzeichnis stehen
Grundsätzlich ist der Pfad Ihrer java.exe gemeint
Fügen Sie direkt nach diesem Eintrag folgende Zeile hinzu:
<argument>-Dlog4j2.formatMsgNoLookups=true</argument>
Speichern Sie die Datei und starten Sie den Dienst ElasticSearch über den CAS Server Manager neu.
Da ein manuelles Ändern der Konfigurationsdatei durch das Einspielen eines Software-Updates überschrieben würde, empfehlen wir die u.g. Software-Updates zeitnah einzuspielen.
Möglichkeit 3:
Entsprechend der Empfehlung des BSI (siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3) können Sie alternativ auch die Windows-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true setzen. Auch hier müssen Sie den Dienst ElasticSearch im CAS Server Manager neu starten.
Die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld werden die potenzielle Ausnutzung dieser Sicherheitslücke verhindern. Die Freigabe dieser Software-Updates ist herstellerseitig aktuell für diese Woche vorgesehen.
Update: SMC OpenServer – Information der SMC IT AG
Gerne stellen wir Ihnen ein Setup für den SMC OpenServer bereit, welches die potenzielle Ausnutzung dieser Sicherheitslücke verhindert.
Bitte wenden Sie sich an das SMC Support-Team (Kontaktdaten siehe unten).
Sofern Sie Unterstützung bei der Umsetzung der beschriebenen Maßnahmen benötigen, steht Ihnen das SMC Support-Team gerne zur Verfügung:
Helpdesk: https://portal.smc-it.de/helpdesk
E-Mail: crmsupport@smc-it.de
Freundliche Grüße
Ihr Team der SMC IT AG
Update 15.12.21 – SAGE HR Software
wir möchten Sie darüber informieren, dass die Java Log4j Schwachstellen weder die HR Suite noch den Lohn XL betreffen.
Der HR Data Service setzt in .NET-Code umgewandelte Java-Bibliotheken zur Prüfung von elektronischen Meldungen im Bereich der Sozialversicherung ein (Kernprüfung). Die Deutsche Rentenversicherung, welche den Softwareherstellern diese Komponenten zur Verfügung stellt, hat uns informiert, dass „Log4j“ nicht eingebunden ist.
Jedoch sind Komponenten der d.velop-Software (Digitale Personalakte) davon betroffen.
Die Schwachstelle betrifft die d.velop Cloud-Systeme (z.B. d.velop documents, d.velop postbox, d.velop documents light, d.velop sign) – die Komponenten der Desktopprodukte wurden seitens d.velop geprüft und sind NICHT betroffen.
In den Sage Produkten (Sage 50 Handwerk, Sage HR Suite, Sage ERP) wird d.velop documents verwendet. Dort ist NUR die Aufgabenverwalltung betroffen. (Task, Process und Kickstart4Process) – noch ist d.velop in der Prüfung der Komponenten. Sollte sich dort eine Schwachstelle finden, so wird seitens d.velop automatisiert ein entsprechendes Patch installiert. Es gibt seitens Sage, der Business Partner oder der Endkunden selbst KEIN To Do. Die Aktualisierung erfolgt automatisch bei jedem Kunden.
Seitens d.velop wurden uns folgende Informationen zur Thematik übermittelt:
Guten Tag,
eine kürzlich bekanntgewordene Sicherheitslücke im Java Baustein Log4j gefährdet weltweit Millionen Onlineanwendungen und Apps. Die kritische Schwachstelle CVE-2021-44228 in der beliebten log4j-core-Bibliothek für die Protokollierung kann zur Remoteausführung von Code durch andere Parteien führen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert. Leider sind auch Komponenten der d.velop-Software potenziell davon betroffen.
Was bedeutet das für Sie?
Wir arbeiten bereits in einem dedizierten Team mit Hochdruck daran, potenziell betroffene Komponenten zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Ihr System auszuschließen.
Um Sie permanent auf dem Laufenden zum Stand der Dinge zu halten, finden Sie ab sofort als zentrale Anlaufstelle einen neuen Knowledge-Base-Artikel im d.velop service portal:
https://kb.d-velop.de/s/article/000001798
Hier werden wir alle Updates, potenziell betroffene Komponenten, Links zu Patches und weitere Hintergrund-Informationen permanent ergänzen.
Auch eventuell von Ihnen zu treffende vorbeugende Maßnahmen werden wir in diesem Artikel darstellen.
Bitte schauen Sie dort regelmäßig vorbei.
Weitere Hintergründe und genauere Informationen zu der Schwachstelle finden sich unter anderem hier:
– Bundesamt für Sicherheit in der Informationstechnik (BSI) – fortlaufend aktualisiert
Was tun bei Fragen?
Sollten Sie darüber hinaus Fragen oder Unsicherheiten zu Ihrer konkreten Situation in Ihrem Unternehmen oder Ihrer Organisation haben, wenden Sie sich bitte direkt an den d.velop-Support unter support@d-velop.de. Wir unterstützen Sie nach Kräften bei allen Herausforderungen, die diese Sicherheitslücke unter Umständen mit sich bringen wird.
