Good news about
better Performance.

Wichtige Kundeninformation zu CVE-2021-44228 ("Log4j2/Log4Shell Vulnerability")

Wie Sie möglicherweise aus der Presse erfahren haben, wurde kürzlich eine Sicherheitslücke in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht. INVARIS hat unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 10. Dezember 2021 damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten.

Wie Sie möglicherweise aus der Presse erfahren haben, wurde kürzlich eine Sicherheitslücke in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht. INVARIS hat unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 10. Dezember 2021 damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten. 

 

Welche INVARIS Produkte sind betroffen?  
INVARIS Produkte ab Version 12.5 verwenden die von der Sicherheitslücke betroffene Bibliothek (Log4j2 <=2.14.1).  

Dabei handelt es sich um:

  • DCS REST Microservice 
  • DCSLBConnector 
  • Workerserver 

 
Wie kann die Sicherheitslücke geschlossen werden?  
Für die angeführten Produkte wird den betroffenen Kunden ein Update zur Verfügung gestellt in dem das Problem gelöst ist. 
 
Kurzfristig und bis zur Installation des Upgrades empfiehlt INVARIS seinen Kunden die hiergenannten Gegenmaßnahmen
 zu implementieren.  
 
Hinsichtlich der Auswahl der geeigneten Gegenmaßnahme ist zu beachten, dass Versionen vor 12.5 noch ältere Log4j 1.x Versionen verwenden und von der Sicherheitslücke nicht betroffen sind. 
 
Neuere Programmversionen ab inklusive 12.6 sind ebenfalls nicht von der Sicherheitslücke in Log4j2 betroffen. 

Was tut INVARIS darüber hinaus zur Minimierung des durch Log4j2 bestehenden Risikos?  
Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch sämtliche internen IT-Systeme hinsichtlich ihrer Verwundbarkeit geprüft, Gegenmaßnahmen eingeleitet sowie verfügbare Patches installiert.
 
Wir werden die Situation weiterhin genau beobachten und unsere Kunden bei Vorliegen neuer Erkenntnisse zeitnah informieren. 

 
Mit freundlichen Grüßen 
Ihr INVARIS Team 

 

© 2020 INVARIS Informationssysteme GmbH