1. Details, betroffene Produkte

Am 31.3. ist unter CVE-2022-22965 eine Schwachstelle im quelloffenen Java-Framework Spring gemeldet worden. Von dieser Schwachstelle sind auch die Produktegruppen

• SIS-ACCESS
• SIS-AZE
• SIS-eBDE
• SIS-ePZE
  
• SIS-ePZE Basis
• SIS-VISIT
• SIS OfflineClient

beginnend ab Release 19.01 bis inklusive 22.02 betroffen.

2. Auswirkungen

Die Schwachstelle im Spring Framework ermöglicht es potenziellen Angreifern, beliebigen Programmcode auszuführen (Remote Code Execution).

Bei internen Prüfungen ist eine Reproduktion des Exploits bislang nur gelungen, sofern man sich zuvor erfolgreich in der SIS-Applikation angemeldet hat.

3. Mitigationsmaßnahmen

3.1 Empfohlene Maßnahmen

Aktualisierung der SIS-Software: Die künftige Version 22.03 der o.a. SIS-Produkte wird mit den gepatchten Spring Libraries ausgeliefert. Das Release erscheint voraussichtlich am 20.04.2022. Bei Interesse nehmen Sie bitte mit uns über evohelp@sisevo.com Kontakt auf.

3.2 Alternative Maßnahmen – Austausch der Spring Libraries

HINWEIS: Bei den folgenden Maßnahmen kann eine Auswirkung auf die Funktionalität der SIS-Softwareanwendungen nicht ausgeschlossen werden. Die Verantwortung für etwaige Folgeprobleme liegt allein beim Nutzer. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.

Vorgangsweise

1.) Tomcat stoppen -> Windows Services

2.) Wechsel in das Library Verzeichnis der jeweiligen Applikation (%TOMCAT_HOME%\webapps\<Applikation>\WEB-INF\lib).

Mögliche Applikationen
– ROOT (SIS Applikation läuft im root des WebServers)
– PZE
– evoApps
– sis-exchange-service
– DatahubWebServer

3.) Erstellung eines Verzeichnisses für die alten Spring-Libraries (z.b.: old_spring) zwecks Möglichkeit eines Fallbacks.

4.) Bestimmen der Spring-Librarieversion (Suche nach der spring-core-Version -> die gefundene Versionsnummer entspricht der Spring Framework Version). Die eingesetzte Version ist abhängig vom jeweiligen Release.

5.) Suchen aller Spring Frameworkversionen für die gefundene Versionsnummer

6.) Verschieben dieser Daten in das unter Punkt 3 erstellte Verzeichnis (z.b.: old_spring)

7.) Download der aktualisierten Spring-Libraries (Version 5.3.18)
DownloadLink

8.) Transfer der geladenen spring-*-5.3.18.jar Dateien in das Library Verzeichnis der jeweiligen Applikation (%TOMCAT_HOME%\webapps\<Applikation>\WEB-INF\lib).

9.) Punkt 2 bis Punkt 8 für alle SIS-Applikationen unter webapps durchführen.

10.) Tomcat starten -> Windows Service

11.) Test der Applikation

Ausgangszustand wiederherstellen
Sollte es Probleme geben, dann müssen die Punkte 2 bis 8 in umgekehrter Reihenfolge durchgeführt werden (Verschieben der Spring-Libraries 5.3.18 in ein eigenes Verzeichnis und kopieren der alten Spring-Libraries).

Weiterführende Links:

NIST – https://nvd.nist.gov/vuln/detail/CVE-2022-22965

VMWARE – https://tanzu.vmware.com/security/cve-2022-22965

Das deutsche  Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das österreichische nationale Computer Emergency Response Team (CERT) haben eine kritische Schwachstelle in der Java log4j-Bibliothek veröffentlicht. Von dieser Schwachstelle sind auch die Produkte SIS-ACCESS, SIS-AZE, SIS-eBDE, SIS-ePZE, SIS-VISIT, SIS OfflineClient ab Release 17.9 bis inklusive 21.10.1 betroffen.

Auswirkungen

Die genannten SIS-Anwendungen können gezielt von Hackern angegriffen werden, sofern sie direkt aus dem Internet erreichbar sind.

Mitigationsmaßnahmen

Windows

In Apache Tomcat die Java-Option -Dlog4j2.formatMsgNoLookups=true anfügen und anschließend den Dienst neu starten.

Linux

Im Environmentfile für den Tomcat (%TOMCAT_HOME/bin/setenv.sh) muss die Option –Dlog4j2.formatMsgNoLookups=true hinzugefügt werden

Update 15.12.2021: Als zusätzliche Mitigationsmaßnahme wird seitens CERT empfohlen, die Klasse JndiLookupclass aus dem Klassenpfad (“class path”) zu löschen.

Das funktioniert z.B. mit folgendem Befehl:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Quelle: https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

Sofern Sie Unterstützung bei diesen Maßnahmen benötigen, wenden Sie sich bitte an evohelp@sisevo.com.

Aktualisierte SIS-Version (Update 21.12.2021): Mit der kommenden Version 21.10.2 von SIS-Personalmanagementprodukten wird die Sicherheitslücke gepatcht. Das Release erscheint voraussichtlich am 12.01.2022. Bei Interesse melden Sie sich bitte über evohelp@sisevo.com.

Weiterführende Links (Seiten werden regelmäßig aktualisiert):

CERT – https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

BSI – https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

Partnerprodukte:

PCS

Die Produkte INTUS COM 3.4, INTUS COM 3.5 sowie DEXICON 5.4 sind ebenfalls von der Lücke betroffen:

https://www.pcs.com/die-pcs/aktuelles/presse-und-news/detailansicht/_/aktuelle-information-zur-sicherheitsmeldung-des-bsi-java-log4j (Seite wird regelmäßig aktualisiert)

Datafox

Datafox-Produkte sind nach aktuellem Kenntnisstand nicht betroffen (15.12.2021).

Disclaimer

Die auf dieser Seite  angeführten Lösungen (d.h. nicht auch jene Lösungen auf verlinkten Seiten) wurden unsererseits geprüft und haben bis dato keinen negativen Auswirkungen auf die Funktionalität der SIS-Softwareanwendung ergeben. Dennoch liegt die alleinige Verantwortung der Nutzung der hier angeführten Informationen beim Nutzer/Nutzerin. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.

Wir freuen uns, Ihnen folgende Unternehmen als neue Anwender unserer Lösung für die Zeit- und Leistungserfassung
vorstellen zu dürfen:

• Hirschmann Service GmbH
  Verkauf und Wartung von Elektrohaushaltsgeräten
• ALFRED TALKE GmbH & Co. KG
  Logistikunternehmen
• wvta Fahrzeugdaten GmbH
  Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik sowie Kraftfahrzeugtechnik

Wir danken unseren Kunden für das entgegengebrachte Vertrauen und freuen uns auf eine erfolgreiche Zusammenarbeit.

Das Unternehmen Hirschmann besteht bereits seit 1969. Schon damals war es ihr Ziel das Unternehmen als Haushaltsgerätespezialisten zu etablieren. Hirschmann bietet  Reparatur, Wartung, Ersatzteile, Service und Vor Ort Service für Ihre Elektrohaushaltsgeräte an. In der Zwischenzeit erledigt das Unternehmen Hirschmann ca.1500 Dienstleistungen pro Monat für seine Kunden. Seine Stärke ist es, durch hohe Ersatzteilverfügbarkeit auch ein guter Partner für den Fachhandel zu sein.

Hirschmann hat sich für unsere elektronische Zeiterfassung SIS-ePZE mittels Webterminal am PC und per Smartphone
entschieden.

Alfred Talke GmbH & Co KG bietet ein Komplettangebot spezialisierter Logistikleistungen für die chemische und petro-chemische Industrie an. Mit einem eigenen Fuhrpark für alle Transportaufgaben, eigenen Logistikzentren, zahlreichen Mehrwertdiensten sowie einem umfangreichen Beratungsangebot für Ihren spezifischen Bedarf.

Alfred Talke hat sich für unsere elektronische Personalzeiterfassung SIS-ePZE mittels Webterminal am PC entschieden.

• Erfassung, Erstellung, Bearbeitung, Verwaltung und Weiterleitung von fahrzeugspezifischen Daten (Genehmigungsdaten).
• Import von Fahrzeugen (“Eigenimport”)
• Erstellung, Aufbau und Betreuung (Wartung) von Datenbank-, Datentransfer- und Datennetzsystemen, insbesondere im Bereich des KFZ-Wesens und damit zusammenhängender Nebenleistungen.

wvta hat sich für unsere elektronische Personalzeiterfassung SIS-ePZE mittels Webterminal am PC entschieden.

Bei bereits genehmigten ganztägigen Abwesenheiten (wie etwa Urlauben) kann es trotz sorgfältiger Planung dazu kommen, dass der Mitarbeiter den Wunsch hat, die Abwesenheit zu stornieren. Eine solche Stornierung war bisher nur nach mündlicher Absprache durch den Zeitverantwortlichen (Vorgesetzten) möglich.

Im aktuellen Release kann, bei entsprechender Parametrierung, der Mitarbeiter selbst einen Antrag auf Stornierenung stellen. In einem (wenn gewünscht verpflichtendem) Bemerkungsfeld kann eine  Begründungen ergänzt werden.

Nachdem der Antrag auf Stornierung beim Vorgesetzten eingegangen ist, kann dieser den Storno-Antrag genehmigen
beziehungsweise ablehnen und auch seinerseits eine Bemerkung hinzufügen.

Haben wir Ihr Interesse geweckt? Scheuen Sie sich nicht uns zu kontaktieren: evohelp@sisworld.com oder telefonisch unter +43 1 3686500-350.

Wir freuen uns, Ihnen folgende Unternehmen als neue Anwender unserer Lösung für die Zeit- und Leistungserfassung vorstellen zu dürfen:

• • CKV-GRUPPE – SIWACHT Bewachungsdienst Gesellschaft m.b.H.
    Bewachungsunternehmen in Wien und ganz Österreich
  • T-Mobile Austria GmbH
    Anbieter im Bereich Telekommunikation, Internet und TV
  • Holzhaider Bau und Kapl Bau
    Baubranche
  • Waizenauer Bauunternehmen GmbH & Co KG
    Baubranche
  • Florian Lugitsch KG
    Elektroinstallationen und Verkauf von Elektroartikeln

Wir danken unseren Kunden für das entgegengebrachte Vertrauen und freuen uns auf eine erfolgreiche Zusammenarbeit.

siwacht ist eines der führenden österreichischen Sicherheits- und Bewachungsunternehmen und beschäftigt rund 1.300 der mehr als 3.500 Mitarbeiter/innen der CKV GRUPPE, einem eigentümergeführten Großunternehmen. siwacht bietet ein breites Sicherheitsspektrum im B2B-Bereich u.a. für Einkaufszentren, Museen, Konzerne und Institutionen der öffentlichen Hand in den Bereichen Empfangskontrolle, Bewachung und Objektschutz. Mit der eigenen Alarmzentrale ist siwacht rund um die Uhr erreichbar.

siwacht ist mit dem österreichischen Staatswappen, einem besonderen Qualitätssiegel, ausgezeichnet.

siwacht hat sich für unsere Zeiterfassung SIS-ePZE mittels Webterminal am PC, Smartphones sowie Terminals entschieden.

Holzhaider wird seit 1893 als Familienbetrieb geführt. Mehr als 125 Jahre bilden also das Fundament, auf dem mit modernstem Know-how und zukunftsorientierter Technologie aufgebaut wird.

Derzeit beschäftigt Holzhaider rund 150 Mitarbeiter und davon 14 Lehrlinge, die im Hoch- und Tiefbau tätig sind. Das Team steht unter der Leitung von Baumeister Wolfgang Holzhaider und zeichnet sich durch Engagement und Zuverlässigkeit aus.

Kapl Bau ist der kompetente Ansprechpartner in allen Sparten. Ihre Stärken liegen sowohl in der Umsetzung von kleineren Bauvorhaben wie der Stützmauer im Garten als auch in der Planung und professionellen Durchführung von komplizierten und gewerksübergreifenden Projekten. Ob das Einfamilienhaus in Massivbauweise, das Stallgebäude in traditioneller Holzbauweise oder große öffentliche Wohnprojekte in der Sparte Vertragsbau – professionelle Beratung, kompetente Planung und fachgerechte Ausführung sind bei Kapl Bau selbstverständlich.

Holzhaider und Kapl haben sich für unsere Zeiterfassung SIS-ePZE mittels Webterminal am PC, unseren OnlineClient für die Baustellen, sowie über Smartphones und Terminals entschieden.

Die Geschichte des Bauunternehmens im Bezirk Schärding ist gekennzeichnet von Weiterentwicklung. Konsequent erfolgt dabei die Besinnung auf Bisheriges und die Fortführung erprobter Bauverfahren. Nur mit dem Wissen aus jahrzehntelanger Erfahrung gelingt es, neue Materialien und Technologien im Hochbau erfolgreich einzusetzen.

Über die Grenzen hinaus bekannt wurde Waizenauer als Bauunternehmen, das zukunftsweisend denkt und dabei das Gewachsene achtet. Waizenauer steht heute für die zuverlässige Ausführung zeitgenössischer Architektur – in Stahl, Glas und Beton, unter Abstimmung aller Vorgaben und Wünsche. In einem fruchtbaren Prozess des Dialoges aller Partner entstehen hochfunktionale, repräsentative oder einfach lebenswerte Bauwerke.

Waizenauer hat sich für unsere elektronische Zeiterfassung SIS-ePZE mittels Webterminal am PC und per Smartphone entschieden.

Seit über 100 Jahren beschäftigt sich e-Lugitsch mit dem Thema Strom. Von der Energieerzeugung über deren Verteilung im Netz und im Gebäude bis hin zu energieeffizienten Elektrogeräten reicht das Portfolio. Und wer sich so lange schon mit Strom beschäftigt, der weiß auch was rundherum benötigt wird.

e-Lugitsch hat sich für unsere elektronische Zeiterfassungslösung SIS-ePZE entschieden, wobei die Erfassung mittels physischen Terminals, Web-Oberfläche am PC sowie per Smartphone-App erfolgt. Zudem gewährleisten Schnittstellen zu ERP- und Lohnsystemen eine fließende Integration in die bestehende IT-Systemlandschaft.