Informationen zu Sicherheitslücke Log4j

Das deutsche  Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das österreichische nationale Computer Emergency Response Team (CERT) haben eine kritische Schwachstelle in der Java log4j-Bibliothek veröffentlicht. Von dieser Schwachstelle sind auch die Produkte SIS-ACCESS, SIS-AZE, SIS-eBDE, SIS-ePZE, SIS-VISIT, SIS OfflineClient ab Release 17.9 bis inklusive 21.10.1 betroffen.

Auswirkungen

Die genannten SIS-Anwendungen können gezielt von Hackern angegriffen werden, sofern sie direkt aus dem Internet erreichbar sind.

Mitigationsmaßnahmen

Windows

In Apache Tomcat die Java-Option -Dlog4j2.formatMsgNoLookups=true anfügen und anschließend den Dienst neu starten.

Linux

Im Environmentfile für den Tomcat (%TOMCAT_HOME/bin/setenv.sh) muss die Option –Dlog4j2.formatMsgNoLookups=true hinzugefügt werden

Update 15.12.2021: Als zusätzliche Mitigationsmaßnahme wird seitens CERT empfohlen, die Klasse JndiLookupclass aus dem Klassenpfad (“class path”) zu löschen.

Das funktioniert z.B. mit folgendem Befehl:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Quelle: https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek


Sofern Sie Unterstützung bei diesen Maßnahmen benötigen, wenden Sie sich bitte an evohelp@sisevo.com.

Aktualisierte SIS-Version (Update 21.12.2021): Mit der kommenden Version 21.10.2 von SIS-Personalmanagementprodukten wird die Sicherheitslücke gepatcht. Das Release erscheint voraussichtlich am 12.01.2022. Bei Interesse melden Sie sich bitte über evohelp@sisevo.com.

Weiterführende Links (Seiten werden regelmäßig aktualisiert):

CERT – https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

BSI – https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

Partnerprodukte:

PCS

Die Produkte INTUS COM 3.4, INTUS COM 3.5 sowie DEXICON 5.4 sind ebenfalls von der Lücke betroffen:

https://www.pcs.com/die-pcs/aktuelles/presse-und-news/detailansicht/_/aktuelle-information-zur-sicherheitsmeldung-des-bsi-java-log4j (Seite wird regelmäßig aktualisiert)

Datafox

Datafox-Produkte sind nach aktuellem Kenntnisstand nicht betroffen (15.12.2021).


Disclaimer

Die auf dieser Seite  angeführten Lösungen (d.h. nicht auch jene Lösungen auf verlinkten Seiten) wurden unsererseits geprüft und haben bis dato keinen negativen Auswirkungen auf die Funktionalität der SIS-Softwareanwendung ergeben. Dennoch liegt die alleinige Verantwortung der Nutzung der hier angeführten Informationen beim Nutzer/Nutzerin. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.