Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das österreichische nationale Computer Emergency Response Team (CERT) haben eine kritische Schwachstelle in der Java log4j-Bibliothek veröffentlicht. Von dieser Schwachstelle sind auch die Produkte SIS-ACCESS, SIS-AZE, SIS-eBDE, SIS-ePZE, SIS-VISIT, SIS OfflineClient ab Release 17.9 bis inklusive 21.10.1 betroffen.
Auswirkungen
Die genannten SIS-Anwendungen können gezielt von Hackern angegriffen werden, sofern sie direkt aus dem Internet erreichbar sind.
Mitigationsmaßnahmen
Windows
In Apache Tomcat die Java-Option -Dlog4j2.formatMsgNoLookups=true anfügen und anschließend den Dienst neu starten.
Linux
Im Environmentfile für den Tomcat (%TOMCAT_HOME/bin/setenv.sh) muss die Option –Dlog4j2.formatMsgNoLookups=true hinzugefügt werden
Update 15.12.2021: Als zusätzliche Mitigationsmaßnahme wird seitens CERT empfohlen, die Klasse JndiLookupclass aus dem Klassenpfad (“class path”) zu löschen.
Das funktioniert z.B. mit folgendem Befehl:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Quelle: https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
Sofern Sie Unterstützung bei diesen Maßnahmen benötigen, wenden Sie sich bitte an evohelp@sisevo.com.
Aktualisierte SIS-Version (Update 21.12.2021): Mit der kommenden Version 21.10.2 von SIS-Personalmanagementprodukten wird die Sicherheitslücke gepatcht. Das Release erscheint voraussichtlich am 12.01.2022. Bei Interesse melden Sie sich bitte über evohelp@sisevo.com.
Weiterführende Links (Seiten werden regelmäßig aktualisiert):
CERT – https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
BSI – https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690
Partnerprodukte:
PCS
Die Produkte INTUS COM 3.4, INTUS COM 3.5 sowie DEXICON 5.4 sind ebenfalls von der Lücke betroffen:
https://www.pcs.com/die-pcs/aktuelles/presse-und-news/detailansicht/_/aktuelle-information-zur-sicherheitsmeldung-des-bsi-java-log4j (Seite wird regelmäßig aktualisiert)
Datafox
Datafox-Produkte sind nach aktuellem Kenntnisstand nicht betroffen (15.12.2021).
Disclaimer
Die auf dieser Seite angeführten Lösungen (d.h. nicht auch jene Lösungen auf verlinkten Seiten) wurden unsererseits geprüft und haben bis dato keinen negativen Auswirkungen auf die Funktionalität der SIS-Softwareanwendung ergeben. Dennoch liegt die alleinige Verantwortung der Nutzung der hier angeführten Informationen beim Nutzer/Nutzerin. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.