Auswirkung der log4j auf die POLYPOINT Solutions.
Am Freitagabend wurde in den Medien eine Sicherheitslücke in der Java Bibliothek «Log4j» (CVE-2021-44228) bekannt. Seit Samstag gilt von öffentlichen Stellen diesbezüglich die Warnstufe Rot. Wir informieren Sie hier, welche Konsequenzen für die POLYPOINT Solutions aus der Sicherheitslücke in Java resultieren.
POLYPOINT hat für alle ausgelieferten Komponenten überprüft, ob diese von der Sicherheitslücke in log4j betroffen sind.
Fast alle POLYPOINT Komponenten sind nicht gefährdet weil sie:
- log4j nicht enthalten
- log4j in einer Version enthalten, die von der Sicherheitslücke nicht betroffen ist
- nur Teile von log4j einsetzen, welche nicht von der Sicherheitslücke betroffen sind (konkret: nur log4j-Interface, nicht log4j-Core)
Eine potentielle Gefahr besteht nach heutiger Kenntnis (Stand 13.12.2021) ausschliesslich in POLYPOINT KIS, Kurve ab Version 4.0 in Main Release 7.0 und Feature Release 11.x.
Was ist zu tun für betroffene Kunden?
Betroffen ist die Komponente POLYPOINT KIS, Kurve ab Version 4.0 in Main Release 7.0 und Feature Release 11.x. Ein besonderes Risiko besteht, wenn Ihre Applikation ausserhalb des internen Netzwerks (via Internet) angewendet wird. In der Regel trifft dies für diese Applikation nicht zu. Die Prüfung, ob das System aus dem extern erreichbar ist, obliegt der Kundenseite.
Wenn Ihre Applikation Kurve 4.0 extern verfügbar ist sollten Sie folgende Massnahmen treffen um einen Angriff auf Ihr System auszuschliessen:
In der Konfiguration der Kurve kann der Parameter log4j2.formatMsgNoLookups auf true gesetzt werden. Damit diese Konfiguration aktiviert wird, muss der Betrieb unterbrochen und der Dienst für die Applikation Kurve 4.0 neu gestartet werden.
Bitte wenden Sie sich für die Ausführung der obigen Massnahme an unseren Support: Kontakt
Als Quelle haben wir die Informationen von der offiziellen Stelle GovCERT.ch verwendet. Mehr Informationen finden Sie hier: https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/#
