Kategorie: News
veröffentlicht am 11. Dezember 2021

Update: Warnung des Bundesamts für Sicherheit in der Informationstechnik

Update vom 13.12.2021: Wie wir Ihnen bereits am Wochenende in unserer E-Mail mitgeteilt haben, gibt es aktuell eine Sicherheitswarnung vom Bundesamt für Sicherheit in der Informationstechnik bezüglich der Nutzung von log4j.

Die gute Nachricht vorneweg, die benannte Sicherheitslücke stellt für unsere Module keine unmittelbare Bedrohung dar. Dennoch empfehlen wir Ihnen:

Verbieten Sie Ihren Systemen auf Ressourcen im Internet zuzugreifen!

Für die technisch versierten unter Ihnen, bieten wir eine detaillierte Analyse an. Wir haben unsere Software eingehend überprüft und können Ihnen nun berichten, welche unserer Produkte bzw. Module von der Sicherheitslücke in log4j 2.x betroffen sind. Welche Produkte genau betroffen sind, können Sie in unserer E-Mail vom 13.12.2021 nachlesen.

Alle dort nicht aufgeführten Softwaremodule aus den Produktfamilien BusinessLine (AdSuite), ProductionLine (OpenMedia) und ContentLine sind nicht von dieser Sicherheitslücke betroffen. Diese Module basieren zum größten Teil auf dem Java-Framework SpringBoot, das zum Logging die Bibliothek Logback (http://logback.qos.ch) einsetzt, welche nicht von der Sicherheitslücke betroffen ist.

Alle Module, die dieses Framework nicht nutzen, binden entweder Logback direkt ein, oder aber nutzen log4j in der Version 1.x. Die 1er-Versionen von log4j sind ebenfalls nicht von der Sicherheitslücke betroffen, sofern kein sogenannten JMSAppender genutzt wird, der in keiner Software von alfa Media zur Anwendung kommt.

Unsere Lösungsstrategie

Ein schneller Schutz ist wichtig. Für alle betroffenen Module gibt es ab sofort gepatchte Versionen, die das Problem lösen, indem entweder auf Logback umgestellt oder auf Version 2.16.0 von log4j aktualisiert wird.

Wo es möglich ist, werden wir als adhoc-Maßnahme – in Abstimmung mit Ihnen – auf Ihren Systemen die betroffene Bibliothek gegen die Version 2.16.0 austauschen. Wir werden dazu in Kürze an Sie herantreten.

——————————-

Meldung vom 11.12.2021

Sicherlich haben Sie schon die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bezüglich Log4j wahrgenommen.

Log4j wird von vielen Herstellern als Protokollierungspaket in verschiedenen gängigen Softwareanwendungen verwendet, darunter Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter und Videospiele wie Minecraft.

Das BSI sieht aktuell eine Erhöhung der IT-Bedrohungslage für Geschäftsprozesse und Anwendungen. Durch das aktuell breitflächige Scannen ist eine mögliche anschließende Infektion von anfälligen Systemen und Anwendungen, auch auf Grund aktuell oftmals noch fehlenden Patches, nicht auszuschließen.

Sie fragen sich nun sicherlich, ob und wenn, welche Auswirkung dies auf die in Ihrem Hause eingesetzten alfa Anwendungen hat. Wir sind mit Hochdruck daran alle eventuellen Gefahren für Sie auszuschließen. Bei unseren frei im Netz zugänglichen B2C-Modulen (z. B. WebStore, GlobalPurchase) benutzen wir bereits seit Jahren Logback, was die Alternative zu Log4j darstellt. Nichtsdestotrotz überprüfen wir im Moment alle alfa Module sowie unsere Hosting-Installationen, um sicherzustellen, dass Ihnen keine Probleme entstehen.

Falls sich wider Erwarten doch noch problematische Situationen ergeben sollten, werden wir direkt und unverzüglich auf Sie zukommen.