Sicherheitslücke in Java-Bibliothek Log4j – Was heißt das für AVERO®?
In der weit verbreiteten Java-Bibliothek Log4j wurde eine kritische Schwachstelle (CVE-2021-44228) aufgedeckt. Das Bundesamt für Sicherheit in der Informationstechnik BSI schätzt die Bedrohungslage extrem kritisch ein. Siehe auch: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)
Selbstverständlich haben wir diesen Sachverhalt umgehend für die AVERO® Software und unsere eigene MFT-Hardware mit folgendem Ergebnis geprüft:
Sowohl die meisten Module von AVERO® als auch die MFT-Hardware setzen keinerlei Java-Bibliotheken ein, da deren Software auf dem .Net Framework bzw. auf der Visual Basic Laufzeitumgebung basiert. Es besteht kein Handlungsbedarf!
Lediglich bei dem Modul AVERO® mobile App wird eine Java-basierte Plattform eingesetzt, die wir von unserem Partner engomo beziehen. engomo hat uns dazu folgendes Statement mitgeteilt:
„Wir haben diesen Sachverhalt umgehend und ausführlich für alle Versionen von engomo mit folgendem Ergebnis überprüft:
engomo ist nicht von der Sicherheitslücke CVE-2021-44228 betroffen. Es besteht kein Handlungsbedarf.
Sowohl der engomoServer selbst als auch der Tomcat-Applikationsserver nutzen standardmäßig keine der betroffenen Libraries und Komponenten.
Bitte beachten Sie:
Sollten Sie die Logging-Einstellungen der engomo-Installation oder des Tomcat-Applikationsservers
abweichend unserer Standardeinstellungen verändert haben, empfehlen wir Ihnen, diese Einstellungen auf die Verwendung der Log4J-Komponente zu prüfen.“
Sollten Sie weitere Informationen benötigen oder noch Fragen haben, können Sie sich natürlich gerne an uns wenden.
Ergänzender Hinweis:
Microsoft hat am 17.12.2021 bekannt gegeben, dass auch der SQL Server von der Log4j-Sicherheitslücke betroffen ist.
Siehe Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 – Microsoft Security Response Center
Die Java-Komponenten des SQL Servers werden für den sicheren und fehlerfreien Betrieb von AVERO® nicht benötigt.
