WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

Dezember 16, 2021

UPDATE [16.12.2021]: Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

Eine kürzlich bekanntgewordene Sicherheitslücke in der Programmbibliothek „Log4j“ gefährdet Millionen von IT Systemen. Über diese Sicherheitslücke, in Verbindung mit unserer QM Lösung, haben wir Sie am Dienstag informiert.

Auf der Informationsseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Sie weitere, allgemeine Informationen zu dieser Schwachstelle.

Die Überprüfung der potenziell betroffenen Komponenten der d.velop AG ist mittlerweile sehr weit fortgeschritten. Die fortlaufend aktualisierten Informationen zu den Produkten finden Sie im Knowledge Base Artikel der d.velop AG. Wir beobachten die dort veröffentlichten Informationen fortlaufend, um die Auswirkungen auf unsere QM Lösung zu beurteilen und schätzen die Lage aktuell wie folgt ein.

Unsere QM Lösung umfasst Produkte von der Digital Life Sciences GmbH und von der d.velop AG. Die Produkte der Digital Life Sciences GmbH verwenden die betroffene Bibliothek „Log4j“ nicht und sind nicht von der Sicherheitslücke betroffen.

Die für den Betrieb der QM Lösung verwendeten Produkte der d.velop AG sind ebenfalls nicht von der Sicherheitslücke betroffen. Diese verwendeten Produkte der d.velop AG, welche mit der Installation gemäß IQ installiert werden, sind in dem Knowledge Base Artikel der d.velop AG als nicht betroffen aufgelistet.

Die Erwähnung des d.3 presentation servers, welcher auch für die QM-Prozesse eingesetzt wird, bezieht sich ausschließlich auf kundenindividuelle Erweiterungen (WebApps), welche die gefährdete Version der „Log4j“ selbst enthalten. Solche kundenindividuellen Erweiterungen werden nicht in unserer QM Lösung verwendet. Die mit der QM Lösung installierte Version des d.3 presentation servers verwendet eine nicht genutzte und ältere Version der Bibliothek, welche nicht von der Schwachstelle CVE-2021–44228 betroffen ist.

Einige Kunden verwenden eine Eingangsrechnungslösung in Verbindung mit d.ecs task, welche von der d.velop AG als betroffen eingestuft wurde. Sollten Sie diesbezüglich noch keinen Kontakt mit uns aufgenommen haben, wenden Sie sich bitte an unseren Support oder Ihrem zuständigen Project Manager.

Wenn Sie weitere Produkte der d.velop AG in Ihrem Unternehmen installiert haben, sollten Sie dringend die von der d.velop AG aufgeführten Maßnahmen zur Beseitigung der Sicherheitslücke beachten, wenn die von Ihnen installierten Produkte betroffen sind.

Vielen Dank für die Beachtung und freundliche Grüße

Dieter Schulten

Geschäftsführer
Digital Life Sciences GmbH

Eine kürzlich bekanntgewordene Sicherheitslücke in der weltweit eingesetzten Programmbibliothek „Log4j“ gefährdet Millionen von IT Systemen. Leider sind auch einige Produkte der d.velop AG von dieser Sicherheitslücke betroffen. Die d.velop AG arbeitet bereits mit Hochdruck daran, potenziell betroffene Komponenten zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Systeme auszuschließen.

Um Sie permanent auf dem Laufenden zu halten, finden Sie ab sofort als zentrale Anlaufstelle einen neuen Knowledge-Base-Artikel der d.velop AG im d.velop service portal. Hier werden alle Updates zu potenziell betroffenen Komponenten, Links zu den entsprechenden Patches und weitere Hintergrundinformationen veröffentlicht. Diese Seite wird fortlaufend aktualisiert und finden Sie unter dieser Adresse:

Knowledge Base Artikel der d.velop AG

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu dieser kritischen Schwachstelle eine Sicherheitswarnung der Warnstufe Rot veröffentlicht.

Auf der Informationsseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Sie weitere, allgemeine Informationen zu dieser Schwachstelle.

Bei der Programmbibliothek „Log4j“ handelt es sich um eine Programmbibliothek, welche in Java Anwendungen verwendet wird. Gemäß den momentan verfügbaren Informationen des BSI befindet sich diese Schwachstelle in den Versionen 2.0 bis 2.14.1 dieser Bibliothek. Die Produkte der Digital Life Sciences GmbH verwenden diese Bibliothek nicht und sind somit nicht direkt von dieser Schwachstelle betroffen.

Nach den uns aktuell vorliegenden Informationen könnte der d.3 presentation server möglicherweise von dieser Schwachstelle betroffen sein. Dieses Produkt der d.velop AG wird für den Betrieb der Workflows benötigt.

Sobald uns verlässliche Informationen zu den betroffenen Produkten, Versionen und Patches der d.velop AG vorliegen, werden wir Sie umgehend darüber in Kenntnis setzen.

Jetzt teilen!

Zum Newsletter anmelden

Sie möchten auf dem Laufenden bleiben? Dann Abonnieren Sie unseren Newsletter.

Sie sehen gerade einen Platzhalterinhalt von Brevo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Erfahren Sie mehr

Teilnahme der Digital Life Sciences GmbH an Messen & Events 2025

Aktuelles

Treffen Sie DLS auf führenden Messen & Events 2025

Digital Life Sciences ist auch 2025 wieder auf zahlreichen nationalen und internationalen Fachmessen vertreten – mit dem Ziel, die neuesten Trends und Technologien im digitalen

3. April 2025

Anhang-Details Gemeinsam-fuer-eine-digitale-Zukunft-Entwicklung-der-Software-engamp-Lieferantenqualifizierung

Blog

Gemeinsam für eine digitale Zukunft – Entwicklung der Software engamp® Lieferantenqualifizierung

Inhaltsverzeichnis Gemeinsam für eine digitale Zukunft – Entwicklung der Software engamp® Lieferantenqualifizierung In Zeiten globaler Lieferketten und zunehmendem Out-Sourcing stellt die Lieferantenqualifizierung (supplier qualification) Unternehmen

27. März 2025

Sie möchten Ihr Business digitalisieren?

Hinterlassen Sie eine Nachricht. Wir melden uns bei Ihnen!