WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021-44228)

UPDATE [16.12.2021]: Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

Eine kürz­lich be­kannt­ge­wor­de­ne Si­cher­heits­lü­cke in der Pro­gramm­bi­blio­thek „Log4j“ ge­fähr­det Mil­lio­nen von IT Sys­te­men. Über die­se Si­cher­heits­lü­cke, in Ver­bin­dung mit un­se­rer QM Lö­sung, ha­ben wir Sie am Diens­tag informiert.

Auf der In­for­ma­ti­ons­sei­te des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) fin­den Sie wei­te­re, all­ge­mei­ne In­for­ma­tio­nen zu die­ser Schwachstelle.

Die Über­prü­fung der po­ten­zi­ell be­trof­fe­nen Kom­po­nen­ten der d.velop AG ist mitt­ler­wei­le sehr weit fort­ge­schrit­ten. Die fort­lau­fend ak­tua­li­sier­ten In­for­ma­tio­nen zu den Pro­duk­ten fin­den Sie im Know­ledge Base Ar­ti­kel der d.velop AG. Wir be­ob­ach­ten die dort ver­öf­fent­lich­ten In­for­ma­tio­nen fort­lau­fend, um die Aus­wir­kun­gen auf un­se­re QM Lö­sung zu be­ur­tei­len und schät­zen die Lage ak­tu­ell wie folgt ein.

Un­se­re QM Lö­sung um­fasst Pro­duk­te von der Di­gi­tal Life Sci­en­ces GmbH und von der d.velop AG. Die Pro­duk­te der Di­gi­tal Life Sci­en­ces GmbH ver­wen­den die be­trof­fe­ne Bi­blio­thek „Log4j“ nicht und sind nicht von der Si­cher­heits­lü­cke betroffen.

Die für den Be­trieb der QM Lö­sung ver­wen­de­ten Pro­duk­te der d.velop AG sind eben­falls nicht von der Si­cher­heits­lü­cke be­trof­fen. Die­se ver­wen­de­ten Pro­duk­te der d.velop AG, wel­che mit der In­stal­la­ti­on ge­mäß IQ in­stal­liert wer­den, sind in dem Know­ledge Base Ar­ti­kel der d.velop AG als nicht be­trof­fen aufgelistet.

Die Er­wäh­nung des d.3 pre­sen­ta­ti­on ser­vers, wel­cher auch für die QM Work­flows ein­ge­setzt wird, be­zieht sich aus­schließ­lich auf kun­den­in­di­vi­du­el­le Er­wei­te­run­gen (Web­Ap­ps), wel­che die ge­fähr­de­te Ver­si­on der „Log4j“ selbst ent­hal­ten. Sol­che kun­den­in­di­vi­du­el­len Er­wei­te­run­gen wer­den nicht in un­se­rer QM Lö­sung ver­wen­det. Die mit der QM Lö­sung in­stal­lier­te Ver­si­on des d.3 pre­sen­ta­ti­on ser­vers ver­wen­det eine nicht ge­nutz­te und äl­te­re Ver­si­on der Bi­blio­thek, wel­che nicht von der Schwach­stel­le CVE-2021–44228 be­trof­fen ist.

Ei­ni­ge Kun­den ver­wen­den eine Ein­gangs­rech­nungs­lö­sung in Ver­bin­dung mit d.ecs task, wel­che von der d.velop AG als be­trof­fen ein­ge­stuft wur­de. Soll­ten Sie dies­be­züg­lich noch kei­nen Kon­takt mit uns auf­ge­nom­men ha­ben, wen­den Sie sich bit­te an un­se­ren Sup­port oder Ih­rem zu­stän­di­gen Pro­ject Manager.

Wenn Sie wei­te­re Pro­duk­te der d.velop AG in Ih­rem Un­ter­neh­men in­stal­liert ha­ben, soll­ten Sie drin­gend die von der d.velop AG auf­ge­führ­ten Maß­nah­men zur Be­sei­ti­gung der Si­cher­heits­lü­cke be­ach­ten, wenn die von Ih­nen in­stal­lier­ten Pro­duk­te be­trof­fen sind.

Vie­len Dank für die Be­ach­tung und freund­li­che Grüße

Die­ter Schulten

Ge­schäfts­füh­rer
Di­gi­tal Life Sci­en­ces GmbH

Eine kürz­lich be­kannt­ge­wor­de­ne Si­cher­heits­lü­cke in der welt­weit ein­ge­setz­ten Pro­gramm­bi­blio­thek „Log4j“ ge­fähr­det Mil­lio­nen von IT Sys­te­men. Lei­der sind auch ei­ni­ge Pro­duk­te der d.velop AG von die­ser Si­cher­heits­lü­cke be­trof­fen.  Die d.velop AG ar­bei­tet be­reits mit Hoch­druck dar­an, po­ten­zi­ell be­trof­fe­ne Kom­po­nen­ten zu iden­ti­fi­zie­ren und um­ge­hend mit Patches aus­zu­stat­ten, um ein Ri­si­ko für Sys­te­me auszuschließen.

Um Sie per­ma­nent auf dem Lau­fen­den zu hal­ten, fin­den Sie ab so­fort als zen­tra­le An­lauf­stel­le ei­nen neu­en Know­ledge-Base-Ar­ti­kel der d.velop AG im d.velop ser­vice por­tal. Hier wer­den alle Up­dates zu po­ten­zi­ell be­trof­fe­nen Kom­po­nen­ten, Links zu den ent­spre­chen­den Patches und wei­te­re Hin­ter­grund­in­for­ma­tio­nen ver­öf­fent­licht. Die­se Sei­te wird fort­lau­fend ak­tua­li­siert und fin­den Sie un­ter die­ser Adresse:

Know­ledge Base Ar­ti­kel der d.velop AG

Das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) hat zu die­ser kri­ti­schen Schwach­stel­le eine Si­cher­heits­war­nung der Warn­stu­fe Rot veröffentlicht.

Auf der In­for­ma­ti­ons­sei­te des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) fin­den Sie wei­te­re, all­ge­mei­ne In­for­ma­tio­nen zu die­ser Schwachstelle.

Bei der Pro­gramm­bi­blio­thek „Log4j“ han­delt es sich um eine Pro­gramm­bi­blio­thek, wel­che in Java An­wen­dun­gen ver­wen­det wird. Ge­mäß den mo­men­tan ver­füg­ba­ren In­for­ma­tio­nen des BSI be­fin­det sich die­se Schwach­stel­le in den Ver­sio­nen 2.0 bis 2.14.1 die­ser Bi­blio­thek. Die Pro­duk­te der Di­gi­tal Life Sci­en­ces GmbH ver­wen­den die­se Bi­blio­thek nicht und sind so­mit nicht di­rekt von die­ser Schwach­stel­le betroffen.

Nach den uns ak­tu­ell vor­lie­gen­den In­for­ma­tio­nen könn­te der d.3 pre­sen­ta­ti­on ser­ver mög­li­cher­wei­se von die­ser Schwach­stel­le be­trof­fen sein. Die­ses Pro­dukt der d.velop AG wird für den Be­trieb der Work­flows benötigt.

So­bald uns ver­läss­li­che In­for­ma­tio­nen zu den be­trof­fe­nen Pro­duk­ten, Ver­sio­nen und Patches der d.velop AG vor­lie­gen, wer­den wir Sie um­ge­hend dar­über in Kennt­nis setzen.

Jetzt teilen!

Zum Newsletter anmelden

Sie möchten auf dem Laufenden bleiben? Dann Abonnieren Sie unseren Newsletter.

Erfahren Sie mehr

Zur Newsübersicht

Sie möchten Ihr Business digitalisieren?

Hinterlassen Sie eine Nachricht. Wir melden uns bei Ihnen!

Kontaktaufnahme
Porträt von Mitarbeitern, die im Büro diskutieren