ERP-Software mit Sprachassistenten ➔ VEMAS.NET

Wie Sie bereits den Medien entnehmen konnten, gibt es aktuell eine extrem kritische Sicherheitslücke (CVE-2021-44228) die im Java-Paket „jog4j“ vor einigen Tagen entdeckt worden ist.

Das BSI stuft diese Sicherheitslücke mit der höchsten Warnstufe ein, da diese bereits aktiv ausgenutzt wird (Details können Sie der Sicherheitswarnung des BSI entnehmen). Von der Sicherheitslücke sind sowohl Server- / Cloud-Software, Firewalls namhafter Hersteller, als auch Router- / Switches-Firmware betroffen. Das Ausmaß ist, laut Mitteilung des BSI, zum aktuellen Zeitpunkt nicht genau zu beziffern, was die Gefahrenlage sehr brisant macht. Betroffen sind hier unter anderem Apple, CISCO, VMWare, UniFi und Apache.

Technische Details hierzu können Sie der Mitteilung von LunaSec entnehmen: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package | LunaSec.

Situation Vemas.NET und Vemas.NextGen:
Wir als Hersteller von Vemas (sowohl NET als auch NextGen) haben den gestrigen Tag intensiv genutzt, um unsere Produkte dahingehend zu prüfen.

Vemas.NET und Vemas.NextGen bauen nicht auf einer Java-Architektur auf und sind demnach nicht von dieser Sicherheitslücke betroffen.

Vemas.NET baut auf VB.NET auf und Vemas.NextGen basiert auf C# (in der API) und TypeScript/JavaScript im Frontend. Auch wenn es Überschneidungen im Namen zwischen Java und JavaScript gibt, haben diese beiden Programmiersprachen nichts miteinander gemein und die technischen Voraussetzungen zur Ausnutzung dieser Sicherheitslücke sind dort nicht gegeben.

Situation Atlassian (Jira):

Atlassian hat erklärt, dass aktuelle Prüfungen zu den Cloud-Produkten noch andauern. Ebenso werden aktuell die Onpremise-Produkte (eigen gehostete Produkte) geprüft.

Eigene Installationen stuft Atlassian im Standard als nicht vulnerabel ein, solange man nicht aktiv das Logging verändert hat.

Details hierzu können Sie der FAQ-Datenbank von Atlassian entnehmen:
FAQ for CVE-2021-44228 | Atlassian Support | Atlassian Documentation

Bitte beachten Sie, dass es sich hierbei um eine Fremdhersteller-Software handelt und wir demnach keine Aussage dazu treffen können, ob Ihr konkretes System davon betroffen ist. Bitte halten Sie zur Klärung Rücksprache mit dem Hersteller.

Situation anderer Hersteller/Systeme:

Bitte prüfen Sie ob das eingesetzte System auf Java basiert. Sofern es auf Java basiert, sollten Sie umgehend mit dem Hersteller Rücksprache halten und/oder entsprechende Mitteilungen verfolgen um Gegenmaßnahmen zu treffen.

Situation unserer Infrastruktur:

Aktuelle Prüfungen zeigen bisher, dass unsere internen Systeme von der o.g. Sicherheitslücke nicht betroffen sind.

Situation der Vemas.Cloud

Die Infrastruktur der Vemas.Cloud nutzt derzeit keine Software die log4j benutzt. Entsprechend betreffen die unter den CVEs:

- CVE-2021-44228

- CVE-2021-45046

publizierten Schwachstellen die Vemas.Cloud und ihre Bestandteile nicht.

Information zur Sicherheitslage log4j

Sie haben Fragen?

Stefan Scholz

Kostenlosen und unverbindlichen Demotermin vereinbaren