Sondernewsletter Sicherheitslücke log4j - Nachtrag 

Sehr geehrte Damen und Herren,
 
nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) existiert in der weltweit verwendeten Protokollierungsbibliothek log4j für Java-Anwendungen in den Versionen 2.0 bis 2.14.1 eine kritische Schwachstelle, die möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen haben könnte. Die Medien berichteten darüber.
 
Nach eingehender Prüfung durch den Hersteller gibt es auch "Entwarnung" für das Rechnungswesen. Die Info aus Bielefeld finden Sie unten aufgeführt.
 
Wir haben dibac aller Produktgenerationen dahingehend überprüft, ob sie betroffen sein könnten. Weiterhin wurden Informationen der Hersteller integrierter Partnerprodukte, die von RSW-Orga GmbH vertrieben werden, eingeholt. Bevor wir Sie mit diesem Newsletter informieren, haben wir bereits seit Montag - sofern erforderlich - bei Kunden mit Full-Service-Vertrag und im Kontakt mit vielen unserer Kunden die später beschriebenen Maßnahmen umgesetzt.
 
Unsere Analysen und die Auskünfte unserer Lieferanten haben ergeben, dass folgende Produkte die Programmbibliothek log4j nicht verwenden und daher nicht betroffen sind:
 
•  dibac 6 (Classic und Windows)
•  die Drucklösung List & Label
•  SAP Crystal Reports
•  dibac-BI
 
 
dibac.erp³
 
In dibac.erp³ wird die Programmbibliothek log4j bis einschließlich Version 1.37 verwendet. Entsprechend der von uns empfohlenen und auch so durchgeführten Installationen sind dibac.erp³-Applikationsserver nicht aus dem Internet erreichbar und eine kritische Gefährdungslage besteht nicht. Installationen, die über das Internet Daten austauschen, z. B. mit einem Web-Shop, verwenden für diese Datenkommunikationen ein vorgeschaltetes Gateway, in dem log4j nicht eingesetzt wird. Im Laufe der KW 50/2021 wird ein Patch veröffentlicht, mit dem eine vom BSI veröffentlichte Maßnahme durch Setzen der Umgebungsvariablen LOG4J_FORMAT_MSG_NO_LOOKUPS auf true erfolgt. Mit dem Servicepack 1.38 für dibac.erp³ wird die betroffene Programmbibliiothek in dibac.erp³ ersetzt und damit dieses Risiko gänzlich beseitigt.
 
CAS genesisWorld
 
Nach Angaben des Herstellers kommt die kritische Bibliothek log4j-core im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch zum Einsatz. In einem FAQ Newsletter veröffentlicht die CAS Software AG Lösungsansätze zur kurzfristigen Behebung. Auf Systemen von Kunden der RSW-Orga GmbH, die über einen Full-Service-Vertrag verfügen, wurde die in Alternative 2 genannte Gegenmaßnahme bereits durch unseren Support umgesetzt. Darüber hinaus werden nach Angaben des Herstellers die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld die potenzielle Ausnutzung dieser Sicherheitslücke verhindern.
 
dibac.finanz (Diamant)
 
Das Diamant Rechnungswesen ist nicht von der Schwachstelle betroffen, da es nicht auf Java basiert. Zusammen mit unseren Komponentenzulieferern behalten wir die Situation aber weiter im Auge.
 
 
 

dibac.erp³

 
Die integrierte Branchen- komplettlösung für mittelständische Chemieunternehmen

dibac.finanz³

 
Das Rechnungswesen unter einer einzigen Oberfläche

dibac.all

 
Optimierte Prozesse rund um Ihre Kunden
 
Webseite   |   Über uns   |   Impressum   |   Datenschutzerklärung