Aktuelle Sicherheitslücke Log4J – Rückmeldung unserer Partner
Hinweis: Dieser Artikel wird laufend aktualisiert, wenn uns neue Informationen unserer Partner vorliegen.
In diesem Artikel halten wie Sie über die aktuelle Sicherheitslücke in der Java Bibliothek Log4J in den Produkten unserer Partner auf dem laufendem:
d.velop
In diesem vom Hersteller bereitgestellten Artikel können Sie den aktuellen Status einsehen:
kb.d-velop.de
Sage
Produkt | Betroffen von CVE-2021-44228 | Details |
---|---|---|
Sage 50 Connected (SmartFinder) | Nein | Das im Smartfinder verwendete ApacheSolr 5.3.1 beinhaltet Log4J in der Version 1.2.17. Diese Version ist nicht von der ursprünglichen schwerwiegenden kritischen Schwachstelle CVE-2021-44228 betroffen, welche sich auf die Log4J Versionen 2.0-2.14.1 bezieht. |
Sage 50 Handwerk (SmartFinder) | Nein | Im Rahmen weiterer Analysen zu CVE-2021-44228 wurde eine etwas geringer kritische Schwachstelle zu Log4J in der Version 1.2.17 entdeckt: CVE-2021-4104. Zu dieser Schwachstelle kommt es allerdings nur dann, wenn ApacheSolr mit einer Logging Konfiguration betrieben wird, die nicht der Standardeinstellung entspricht, genauer gesagt wenn der JMSAppender verwendet wird um Logeinträge zu erstellen. Dieser kann dann dazu missbraucht werden um JNDI Anfragen auszulösen die zur gleichen Wirkung wie CVE-2021-44228 führen. Das im SmartFinder verwendete ApacheSolr 5.3.1 wird per Default auf die Weise ausgeliefert und installiert, dass es den RollingFileAppender benutzt. Dieser kann technisch keine JNDI Anfragen erstellen. Aus diesem Grund ist der SmartFinder und damit auch Sage50 Connected sowie Sage50 Handwerk von diesen Schwachstellen CVE-2021-44228 & CVE-2021-4104 nicht betroffen. Quellen: https://logging.apache.org/log4j/2.x/security.html https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-4104 https://nvd.nist.gov/vuln/detail/CVE-2021-44228 |
Sage ERP | Nein | Kein Java Technologie Stack |
Sage 100 | Nein | Kein Java Technologie Stack |
xRM | Nein | Kein Java Technologie Stack |
HR Suite | Nein | Kein Java Technologie Stack |
LohnXL | Nein | Kein Java Technologie Stack |
Sage Business Cloud Payroll | Nein | |
SOO | Nein | Weder auf dem Gateway noch auf den Web oder Provisioning Server und auch auf den Appservern ist Java nicht installiert |
Sage CRM | Ja | Das SageCRM-Team in Dublin will für die aktuell unterstützten Versionen Patches liefern. Für folgende Versionen sind sie bereits im Test: Sage CRM 2020 R2 Sage CRM 2021 R1 Sage CRM 2021 R2 Sobald sie verfügbar sind wird von uns ein WDB-Artikel mit den downloads veröffentlicht: sagecity.com |
OL24 / Sage100 Hosting | Nein | |
Sage New Classic / SNC Webclient | Nein | |
Sage Online-Portale (ServiceWelt, PartnerForum, SupportCenter usw.) | Nein | Kein Java Technologie Stack |
TMS Archiv (HR) | Nein | |
E-Bilanz HSH | Nein | Opti.Tax und entsprechende OEM Client Versionen sind von dieser Java Sicherheitslücke nicht betroffen. Log4j wird von uns nicht verwendet! Es besteht kein Handlungsbedarf. Folgenden Beitrag haben wir zu diesem Thema veröffentlicht: Schwachstelle Java-Bibliothek (Log4j) |
Webshop epages | Nein | Nach jetzigem Stand (14.12.2021) ist der Shop von epages nicht direkt betroffen. Lediglich die Logfile Aggregation mit Logstash und Elasticsearch benutzt die betroffene Bibliothek. Dafür hat epages gestern einen Workaround eingespielt. |
Sage 50 Handwerk mobile Objects | Nein | Laut Aussage des Herstellers ist unser Webservice nicht von dem Problem betroffen |
Sage 50 Handwerk Cloud (powered by Loginfinity) | Kein Java Technologie Stack |
Ihr Team der ISB