Java-Bibliothek Log4j und AVERO®

Sicherheitslücke in Java-Bibliothek Log4j – Was heißt das für AVERO®?

In der weit verbreiteten Java-Bibliothek Log4j wurde eine kritische Schwachstelle (CVE-2021-44228) aufgedeckt. Das Bundesamt für Sicherheit in der Informationstechnik BSI schätzt die Bedrohungslage extrem kritisch ein. Siehe auch: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)

Selbstverständlich haben wir diesen Sachverhalt umgehend für die AVERO® Software und unsere eigene MFT-Hardware mit folgendem Ergebnis geprüft:
Sowohl die meisten Module von AVERO® als auch die MFT-Hardware setzen keinerlei Java-Bibliotheken ein, da deren Software auf dem .Net Framework bzw. auf der Visual Basic Laufzeitumgebung basiert. Es besteht kein Handlungsbedarf!

Lediglich bei dem Modul AVERO® mobile App wird eine Java-basierte Plattform eingesetzt, die wir von unserem Partner engomo beziehen. engomo hat uns dazu folgendes Statement mitgeteilt:

„Wir haben diesen Sachverhalt umgehend und ausführlich für alle Versionen von engomo mit folgendem Ergebnis überprüft:
engomo ist nicht von der Sicherheitslücke CVE-2021-44228 betroffen. Es besteht kein Handlungsbedarf.

Sowohl der engomoServer selbst als auch der Tomcat-Applikationsserver nutzen standardmäßig keine der betroffenen Libraries und Komponenten.

Bitte beachten Sie:
Sollten Sie die Logging-Einstellungen der engomo-Installation oder des Tomcat-Applikationsservers
abweichend unserer Standardeinstellungen verändert haben, empfehlen wir Ihnen, diese Einstellungen auf die Verwendung der Log4J-Komponente zu prüfen.“

Sollten Sie weitere Informationen benötigen oder noch Fragen haben, können Sie sich natürlich gerne an uns wenden.

 

<font size=1><div>Icons made by <a href=“https://www.flaticon.com/authors/freepik“ title=“Freepik“>Freepik</a> from <a href=“https://www.flaticon.com/“ title=“Flaticon“>www.flaticon.com</a></div></font size>

Menü