WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

WICHTIGE Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021-44228)

UPDATE [16.12.2021]: Informationen zur kritischen Log4j Sicherheitslücke (CVE-2021–44228)

Eine kürz­lich be­kannt­ge­wor­de­ne Si­cher­heits­lü­cke in der Pro­gramm­bi­blio­thek „Log4j“ ge­fähr­det Mil­lio­nen von IT Sys­te­men. Über die­se Si­cher­heits­lü­cke, in Ver­bin­dung mit un­se­rer QM Lö­sung, ha­ben wir Sie am Diens­tag informiert.

Auf der In­for­ma­ti­ons­sei­te des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) fin­den Sie wei­te­re, all­ge­mei­ne In­for­ma­tio­nen zu die­ser Schwachstelle.

Die Über­prü­fung der po­ten­zi­ell be­trof­fe­nen Kom­po­nen­ten der d.velop AG ist mitt­ler­wei­le sehr weit fort­ge­schrit­ten. Die fort­lau­fend ak­tua­li­sier­ten In­for­ma­tio­nen zu den Pro­duk­ten fin­den Sie im Know­ledge Base Ar­ti­kel der d.velop AG. Wir be­ob­ach­ten die dort ver­öf­fent­lich­ten In­for­ma­tio­nen fort­lau­fend, um die Aus­wir­kun­gen auf un­se­re QM Lö­sung zu be­ur­tei­len und schät­zen die Lage ak­tu­ell wie folgt ein.

Un­se­re QM Lö­sung um­fasst Pro­duk­te von der Di­gi­tal Life Sci­en­ces GmbH und von der d.velop AG. Die Pro­duk­te der Di­gi­tal Life Sci­en­ces GmbH ver­wen­den die be­trof­fe­ne Bi­blio­thek „Log4j“ nicht und sind nicht von der Si­cher­heits­lü­cke betroffen.

Die für den Be­trieb der QM Lö­sung ver­wen­de­ten Pro­duk­te der d.velop AG sind eben­falls nicht von der Si­cher­heits­lü­cke be­trof­fen. Die­se ver­wen­de­ten Pro­duk­te der d.velop AG, wel­che mit der In­stal­la­ti­on ge­mäß IQ in­stal­liert wer­den, sind in dem Know­ledge Base Ar­ti­kel der d.velop AG als nicht be­trof­fen aufgelistet.

Die Er­wäh­nung des d.3 pre­sen­ta­ti­on ser­vers, wel­cher auch für die QM Work­flows ein­ge­setzt wird, be­zieht sich aus­schließ­lich auf kun­den­in­di­vi­du­el­le Er­wei­te­run­gen (Web­Ap­ps), wel­che die ge­fähr­de­te Ver­si­on der „Log4j“ selbst ent­hal­ten. Sol­che kun­den­in­di­vi­du­el­len Er­wei­te­run­gen wer­den nicht in un­se­rer QM Lö­sung ver­wen­det. Die mit der QM Lö­sung in­stal­lier­te Ver­si­on des d.3 pre­sen­ta­ti­on ser­vers ver­wen­det eine nicht ge­nutz­te und äl­te­re Ver­si­on der Bi­blio­thek, wel­che nicht von der Schwach­stel­le CVE-2021–44228 be­trof­fen ist.

Ei­ni­ge Kun­den ver­wen­den eine Ein­gangs­rech­nungs­lö­sung in Ver­bin­dung mit d.ecs task, wel­che von der d.velop AG als be­trof­fen ein­ge­stuft wur­de. Soll­ten Sie dies­be­züg­lich noch kei­nen Kon­takt mit uns auf­ge­nom­men ha­ben, wen­den Sie sich bit­te an un­se­ren Sup­port oder Ih­rem zu­stän­di­gen Pro­ject Manager.

Wenn Sie wei­te­re Pro­duk­te der d.velop AG in Ih­rem Un­ter­neh­men in­stal­liert ha­ben, soll­ten Sie drin­gend die von der d.velop AG auf­ge­führ­ten Maß­nah­men zur Be­sei­ti­gung der Si­cher­heits­lü­cke be­ach­ten, wenn die von Ih­nen in­stal­lier­ten Pro­duk­te be­trof­fen sind.

Vie­len Dank für die Be­ach­tung und freund­li­che Grüße

Die­ter Schulten

Ge­schäfts­füh­rer
Di­gi­tal Life Sci­en­ces GmbH

Eine kürz­lich be­kannt­ge­wor­de­ne Si­cher­heits­lü­cke in der welt­weit ein­ge­setz­ten Pro­gramm­bi­blio­thek „Log4j“ ge­fähr­det Mil­lio­nen von IT Sys­te­men. Lei­der sind auch ei­ni­ge Pro­duk­te der d.velop AG von die­ser Si­cher­heits­lü­cke be­trof­fen.  Die d.velop AG ar­bei­tet be­reits mit Hoch­druck dar­an, po­ten­zi­ell be­trof­fe­ne Kom­po­nen­ten zu iden­ti­fi­zie­ren und um­ge­hend mit Patches aus­zu­stat­ten, um ein Ri­si­ko für Sys­te­me auszuschließen.

Um Sie per­ma­nent auf dem Lau­fen­den zu hal­ten, fin­den Sie ab so­fort als zen­tra­le An­lauf­stel­le ei­nen neu­en Know­ledge-Base-Ar­ti­kel der d.velop AG im d.velop ser­vice por­tal. Hier wer­den alle Up­dates zu po­ten­zi­ell be­trof­fe­nen Kom­po­nen­ten, Links zu den ent­spre­chen­den Patches und wei­te­re Hin­ter­grund­in­for­ma­tio­nen ver­öf­fent­licht. Die­se Sei­te wird fort­lau­fend ak­tua­li­siert und fin­den Sie un­ter die­ser Adresse:

Know­ledge Base Ar­ti­kel der d.velop AG

Das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) hat zu die­ser kri­ti­schen Schwach­stel­le eine Si­cher­heits­war­nung der Warn­stu­fe Rot veröffentlicht.

Auf der In­for­ma­ti­ons­sei­te des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) fin­den Sie wei­te­re, all­ge­mei­ne In­for­ma­tio­nen zu die­ser Schwachstelle.

Bei der Pro­gramm­bi­blio­thek „Log4j“ han­delt es sich um eine Pro­gramm­bi­blio­thek, wel­che in Java An­wen­dun­gen ver­wen­det wird. Ge­mäß den mo­men­tan ver­füg­ba­ren In­for­ma­tio­nen des BSI be­fin­det sich die­se Schwach­stel­le in den Ver­sio­nen 2.0 bis 2.14.1 die­ser Bi­blio­thek. Die Pro­duk­te der Di­gi­tal Life Sci­en­ces GmbH ver­wen­den die­se Bi­blio­thek nicht und sind so­mit nicht di­rekt von die­ser Schwach­stel­le betroffen.

Nach den uns ak­tu­ell vor­lie­gen­den In­for­ma­tio­nen könn­te der d.3 pre­sen­ta­ti­on ser­ver mög­li­cher­wei­se von die­ser Schwach­stel­le be­trof­fen sein. Die­ses Pro­dukt der d.velop AG wird für den Be­trieb der Work­flows benötigt.

So­bald uns ver­läss­li­che In­for­ma­tio­nen zu den be­trof­fe­nen Pro­duk­ten, Ver­sio­nen und Patches der d.velop AG vor­lie­gen, wer­den wir Sie um­ge­hend dar­über in Kennt­nis setzen.

Jetzt teilen!

Zum Newsletter anmelden

Sie möchten auf dem Laufenden bleiben? Dann Abonnieren Sie unseren Newsletter.

Erfahren Sie mehr

Auszeichnung als Top-Arbeitgeber Mittelstand 2024
Aktuelles

Auszeichnung als “Top-Arbeitgeber Mittelstand 2024”

Di­gi­tal Life Sci­en­ces zum fünf­ten Mal in Fol­ge als “Top-Ar­­bei­t­­ge­­ber Mit­tel­stand” aus­ge­zeich­net. Er­neut be­stä­tigt: Di­gi­tal Life Sci­en­ces er­hält die be­gehr­te Aus­zeich­nung als Top-Ar­­bei­t­­ge­­ber des deutschen

Sie möchten Ihr Business digitalisieren?

Hinterlassen Sie eine Nachricht. Wir melden uns bei Ihnen!

Porträt von Mitarbeitern, die im Büro diskutieren