UPDATE [16.12.2021]: Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)
Eine kürzlich bekanntgewordene Sicherheitslücke in der Programmbibliothek „Log4j“ gefährdet Millionen von IT Systemen. Über diese Sicherheitslücke, in Verbindung mit unserer QM Lösung, haben wir Sie am Dienstag informiert.
Auf der Informationsseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Sie weitere, allgemeine Informationen zu dieser Schwachstelle.
Die Überprüfung der potenziell betroffenen Komponenten der d.velop AG ist mittlerweile sehr weit fortgeschritten. Die fortlaufend aktualisierten Informationen zu den Produkten finden Sie im Knowledge Base Artikel der d.velop AG. Wir beobachten die dort veröffentlichten Informationen fortlaufend, um die Auswirkungen auf unsere QM Lösung zu beurteilen und schätzen die Lage aktuell wie folgt ein.
Unsere QM Lösung umfasst Produkte von der Digital Life Sciences GmbH und von der d.velop AG. Die Produkte der Digital Life Sciences GmbH verwenden die betroffene Bibliothek „Log4j“ nicht und sind nicht von der Sicherheitslücke betroffen.
Die für den Betrieb der QM Lösung verwendeten Produkte der d.velop AG sind ebenfalls nicht von der Sicherheitslücke betroffen. Diese verwendeten Produkte der d.velop AG, welche mit der Installation gemäß IQ installiert werden, sind in dem Knowledge Base Artikel der d.velop AG als nicht betroffen aufgelistet.
Die Erwähnung des d.3 presentation servers, welcher auch für die QM-Prozesse eingesetzt wird, bezieht sich ausschließlich auf kundenindividuelle Erweiterungen (WebApps), welche die gefährdete Version der „Log4j“ selbst enthalten. Solche kundenindividuellen Erweiterungen werden nicht in unserer QM Lösung verwendet. Die mit der QM Lösung installierte Version des d.3 presentation servers verwendet eine nicht genutzte und ältere Version der Bibliothek, welche nicht von der Schwachstelle CVE-2021–44228 betroffen ist.
Einige Kunden verwenden eine Eingangsrechnungslösung in Verbindung mit d.ecs task, welche von der d.velop AG als betroffen eingestuft wurde. Sollten Sie diesbezüglich noch keinen Kontakt mit uns aufgenommen haben, wenden Sie sich bitte an unseren Support oder Ihrem zuständigen Project Manager.
Wenn Sie weitere Produkte der d.velop AG in Ihrem Unternehmen installiert haben, sollten Sie dringend die von der d.velop AG aufgeführten Maßnahmen zur Beseitigung der Sicherheitslücke beachten, wenn die von Ihnen installierten Produkte betroffen sind.
Vielen Dank für die Beachtung und freundliche Grüße
Dieter Schulten
Geschäftsführer
Digital Life Sciences GmbH
Eine kürzlich bekanntgewordene Sicherheitslücke in der weltweit eingesetzten Programmbibliothek „Log4j“ gefährdet Millionen von IT Systemen. Leider sind auch einige Produkte der d.velop AG von dieser Sicherheitslücke betroffen. Die d.velop AG arbeitet bereits mit Hochdruck daran, potenziell betroffene Komponenten zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Systeme auszuschließen.
Um Sie permanent auf dem Laufenden zu halten, finden Sie ab sofort als zentrale Anlaufstelle einen neuen Knowledge-Base-Artikel der d.velop AG im d.velop service portal. Hier werden alle Updates zu potenziell betroffenen Komponenten, Links zu den entsprechenden Patches und weitere Hintergrundinformationen veröffentlicht. Diese Seite wird fortlaufend aktualisiert und finden Sie unter dieser Adresse:
Knowledge Base Artikel der d.velop AG
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu dieser kritischen Schwachstelle eine Sicherheitswarnung der Warnstufe Rot veröffentlicht.
Auf der Informationsseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Sie weitere, allgemeine Informationen zu dieser Schwachstelle.
Bei der Programmbibliothek „Log4j“ handelt es sich um eine Programmbibliothek, welche in Java Anwendungen verwendet wird. Gemäß den momentan verfügbaren Informationen des BSI befindet sich diese Schwachstelle in den Versionen 2.0 bis 2.14.1 dieser Bibliothek. Die Produkte der Digital Life Sciences GmbH verwenden diese Bibliothek nicht und sind somit nicht direkt von dieser Schwachstelle betroffen.
Nach den uns aktuell vorliegenden Informationen könnte der d.3 presentation server möglicherweise von dieser Schwachstelle betroffen sein. Dieses Produkt der d.velop AG wird für den Betrieb der Workflows benötigt.
Sobald uns verlässliche Informationen zu den betroffenen Produkten, Versionen und Patches der d.velop AG vorliegen, werden wir Sie umgehend darüber in Kenntnis setzen.