Wichtige Informationen zur Log4Shell-Sicherheitslücke
15. Dezember 2021
Aus aktuellem Anlass möchten wir Sie auf eine mögliche, kritische Sicherheitslücke aufmerksam machen.
Bei der Sicherheitslücke Log4Shell (Log4j CVE-2021-44228) geht es um fehlerhaften Code aus einer Java-Bibliothek namens Log4j. Viele kommerzielle Softwarepakete nutzen diese Bibliothek für diverse Protokollierungsaufgaben.
Der aktuelle Wissensstand ist folgender:
Aucotec: Nur im Mechatronic Explorer wird log4j eingesetzt, allerdings in einer älteren Version, die von dieser Lücke nicht betroffen ist. Alle anderen Produkte verwenden gar kein log4j und haben daher keine Schwachstellen.
Autodesk: Gemäss Angaben des Autodesk Security Team wurden zum aktuellen Zeitpunkt keine Schwachstellen identifiziert. Weitere Abklärungen sind im Gange und mögliche neue Erkenntnisse werden zeitnah kommuniziert.
Keytech: Keytech setzt Apache Solr ein. Dieses ist in der Version 7.4.0-7.7.3, 8.0.0 - 8.11.0 von der Sicherheitslücke betroffen. Die Sicherheitslücke ist insbesondere kritisch, wenn Apache Solr von ausserhalb des eigenen Firmennetzwerkes erreichbar ist. Die Sicherheitslücke betrifft jedoch nicht Ihre Keytech-Installation.
Lösung: Apache hat einen Adhoc Lösungsansatz bereitgestellt:
solr.apache.org/security.html
Tacton: Es sind zurzeit keine kompromittierten Systeme bekannt. Gemäss Tacton wird log4j an einzelnen Stellen verwendet, führt aber zu keinerlei Problemen oder Sicherheitsrisiken.
Gerne halten wir Sie auf dem aktuellen Stand und informieren Sie bei neuen Erkenntnissen. Sollten Sie Fragen haben, so stehen wir Ihnen jederzeit zur Verfügung.