|
Sehr geehrte Damen und Herren,
das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine kritische Schwachstelle in der Java log4j-Bibliothek veröffentlicht.
Unsere Lösungen sind NICHT von der Sicherheitslücke "Log4shell" CVE-2021-44228 (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) betroffen.
Bei der Log4Shell-Schwachstelle handelt es sich zusammengefasst um eine Computer- bzw. Hardware-Schwachstelle, welche Hacker gezielt angreifen können, um unbemerkt die Kontrolle oder Fernsteuerung über fremde Geräte zu erlangen. Die Gefahr, dass diese Schwachstelle für Cyber-Angriffe ausgenutzt wird, ist durchaus realistisch, daher schätzt das BSI die Warnstufe mit „Rot“ ein.
Wir haben daraufhin umgehend alle unsere Java-basierenden Softwaresysteme überprüft und möchten Sie über die Ergebnisse informieren.
Ergebnisse der Analyse und Handlungsempfehlungen
Innerhalb der planzeit Anwendungen wird Log4J nicht verwendet.
In der Verzeichnisstruktur der planzeit Lösungen befindet sich das Java Archiv "tika-app-1.7.jar". In diesem Java Archiv sind einige Klassen aus Log4J 1.2.17 vorhanden. Dies kann Ihnen durch verschiedene "Log4Shell"-Detektoren angezeigt werden.
Die Tika App wird von planzeit jedoch nur für die Erkennung von Zeichensätzen bei dem Import von Daten verwendet. Die enthaltenen Log4J-Klassen werden nicht geladen.
Wir empfehlen unseren Kunden generell, für den bestmöglichen Schutz vor Cyberangriffen, Ihr System und die eingesetzte Hardware regelmäßig auf den neusten Stand zu aktualisieren.
Ergebnisse der Analyse durch unsere Hardwarepartner
B-COMM von dormakaba
Die Überprüfung aktueller Versionen hat ergeben, dass keine der betroffenen Funktionen standardmäßig verwendet werden. Stichproben der Versionen 3.18.x und 4.1.3 haben ebenfalls bestätigt, dass keine der betroffenen Funktionen verwendet werden. (Auszug aus der dormakaba Stellungnahme zur kritischen Schwachstelle in log4j vom 14.12.2021)
Datafox Talk
Datafox Produkte (Datafox Hardware, die Datafox Kommunikationsbibliothek und der Datafox Talk) sind von der aktuellen Log4Schell (CVE-2021-44228) Schwachstelle NICHT betroffen. (Auszug aus der Datafox Stellungnahme zur kritischen Schwachstelle in log4j vom 15.12.2021)
Sollten Sie Rückfragen haben oder weitere Informationen wünschen, stehen wir Ihnen gerne zur Verfügung. Wir hoffen, dass Sie und Ihr Unternehmen weiterhin von dieser akuten Problematik unberührt bleiben.
planzeit - WIR sind anders aus gutem Grund.
Mit mehr als 30 Jahren Erfahrung und Softwarelösungen - Made in Germany - sind wir für unsere Kunden stets persönlich zu erreichen.
Mit freundlichen Grüßen,
Björn Berkenkötter
Geschäftsführung / CEO |
+49 (2521) 29903 - 30 
+49 (2521) 29903 - 50 
[email protected] 
www.planzeit.de