Log4J Java-Schwachstelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in der dieser Tage erkannten Sicherheitslücke der Logging-Bibliothek Log4j eine „extrem kritische Bedrohungslage“. Das BSI hebt als aktuell einziges Produkt die Java-Bibliothek Log4j auf die höchste Warnstufe.

Es wird von Schwachstellen in den Versionen 2.0 bis 2.14.1 von log4j berichtet, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent die Felder in einer Webanwendung zu protokollieren. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Laut dem BSI sei es derzeit „nicht überschaubar“, für welche Produkte es bereits Updates gibt, und für welche nicht.

Allgemein

Zum Schutz unserer Kunden beobachten wir die Situation sehr genau und haben unsere internen Sicherheitsvorkehrungen erhöht. Zusätzlich haben wir verfügbare Patches / Updates bereits eingespielt und werden künftige Patches jeweils kurzfristig einspielen. Bei Systemen, für die noch kein Update bereitsteht oder bei denen noch nicht klar ist, ob sie von der Sicherheitslücke betroffen sind, empfehlen wir, die Verbindung zum Internet zu unterbinden, wenn diese nicht zwingend benötigt werden.

Grundsätzlich empfehlen wir Ihnen für jegliche sicherheitsrelevanten Themen immer die Installation aller angebotenen Updates. Hierzu zählen Windows-Updates sowie Updates der Hersteller und die regelmäßige Prüfung Ihrer IT-Umgebung. Unser gesamtes Team arbeitet daran alle Patches und Updates nach Verfügbarkeit einzuspielen. Die vorübergehende Abschaltung der externen Zugriffe ist aktuell die schnellste und effektivste Möglichkeit, die Gefahr eines Angriffs zu verhindern.

Sobald wir weitere Kenntnisse zu der Sicherheitslücke oder Kenntnisse über weitere Updates haben, werden wir Sie hier umgehend informieren. Sprechen Sie auch zusätzlich die Anbieter Ihrer Lösungen aktiv an und erfragen den Status der Sicherheitslücke. Sollte die Installation von Updates durch uns notwendig sein, senden Sie uns gerne die Informationen der Anbieter per E-Mail an it-support@compnetgmbh.de
Wir melden uns dann für notwendige Installationen von Updates.

SAP Business One

SAP hat erste Informationen über mögliche betroffene Dienste bekannt gegeben und erste Workarounds werden sind bereits veröffentlicht. Technisch ist SAP Business One in bestimmten Komponenten von der Sicherheitslücke betroffen. Aber das Risiko ist einschätzbar. Die Sicherheitslücke besteht in jedem Fall, wenn bestimmte SAP-Dienste oder -Programme direkt über das Internet erreichbar sind.

Mögliche betroffene Releases und Komponenten:

  • SAP 9.3 PL07 – 10.0 FP2108 (PL07) sowohl SQL wie auch HANA
  • Webbasierte SAP Dienste
  • Erhöhtes Risiko bei Verbindungen die von Extern zugänglich sind

 

Mobiler Zugriff / Service-Layer
Grundsätzlich sollte geprüft werden, ob Sie Ihre externen verfügbaren SAP-Dienste vorübergehend deaktivieren. Hiervon überwiegend betroffen ist der SAP Business One Service-Layer bzw. der mobile Zugriff (aktuell gibt es aber noch keine Informationen, ob und in welchem Ausmaß die Dienste von der Log4j Sicherheitslücke betroffen sind).

  • Empfehlung zur Deaktivierung des externen Zugriffs
    Wie bereits in unserem Sondernewsletter informiert, sollten Sie  prüfen, ob Ihre SAP-Anwendungen direkt über das Internet verfügbar sind (über Portfreigaben). Falls dies der Fall ist, empfehlen wir, bis zur Installation der Updates bzw. der Abarbeitung der Anleitungen, diesen Zugang zu deaktivieren.
  • Für alle unsere Kunden in unseren Rechenzentren prüfen wir gerade alle extern verfügbaren SAP-Anwendungen. Wir werden Sie entsprechend kontaktieren, um die mögliche Abschaltung der Dienste zu klären.

 

SAP Customer Checkout
Für das Kassensystem hgbt es bereits einen Workaround. Diesen können Sie sich direkt  über das SAP Support Launchpad (hier) herunterladen.

SAP Business One Add-Ons
Nach aktuellem Stand sind keine unserer Add-Ons betroffen. Hierzu zählen COBISOFT, CKS, Dupp, boyumIT und coresystems.

Rechenzentren

Alle externen Zugänge auf unsere Rechenzentren haben wir bereits mit den uns verfügbaren Tools geprüft. Nach aktuellem Stand sind keine Auffälligkeiten aufgetreten. Wir werden weiterhin nach neuen Erkenntnissen die notwendigen Schritte einleiten.

  • Für alle unsere Kunden in unseren Rechenzentren prüfen wir gerade alle extern verfügbaren SAP-Anwendungen. Wir werden Sie entsprechend kontaktieren, um die mögliche Abschaltung der Dienste zu klären.

COBISOFT

Die Lösungen von COBISOFT sind nach aktuellen Stand von log4j Zero-Day-Schwachstelle nicht betroffen. Detaillierte Informationen erhalten Sie auf unserem COBISOFT Blogbeitrag.

DATEV

DATEV setzt bei ihren Online-Anwendungen die direkt aus dem DATEV-RZ verfügbar sind, die verwundbare Softwarekomponente log4j ein und ist somit potenziell betroffen. Mit Bekanntwerden der Schwachstelle prüft DATEV mögliche Angriffe und hat bereits entsprechende Maßnahmen unternommen. Im Bereich der „normalen“ DATEV-Software, welche wir bei Ihnen vor Ort betreiben, sollte nach aktuellem Stand keine Gefahr ausgehen. Eine endgültige Information über mögliche notwendige Anpassungen an der lokalen DATEV-Software liegt uns noch nicht vor.