Kritische Schwachstelle in der Java-Bibliothek log4j (CVE-2021-44228)

Nutzer von EBÜS & vimacc können aufatmen. Nach interner Überprüfung wurde festgestellt: diese Schwachstelle betrifft unsere Produkte nicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in der Java-Bibliothek log4j (Meldung des BSI).

Status seitens accellence

Unsere Videomanagement-Lösungen (vimacc, vimacc OA & EBÜS) verwenden direkt kein Java und somit auch nicht die Java-Bibliothek log4j. 
Auch der in diesem Zusammenhang häufig verwendete FileZilla-FTP-Server verwendet kein Java1.

Wir können aber nicht ausschließen, ob Software, die von anderen Herstellern zugeliefert oder zusätzlich auf Ihren PCs installiert wurde, log4j verwendet.

Eine international gepflegte Liste mit Bewertung der betroffenen Software-Systeme finden Sie hier: https://github.com/NCSC-NL/log4shell/tree/main/software.

Empfohlene Maßnahmen für EBÜS

Durchsuchen Sie die Verzeichnisstruktur auf Ihrem Computer nach Dateien mit dem Suchmuster log4j*. Dies gibt Ihnen Hinweise auf mögliche Verwendungen dieser Bibliothek auf Ihrem PC. Falls Sie die betreffenden Systeme in Ihrer Leitstelle ohnehin nicht aufschalten, können Sie die betreffenden log4j*.jar-Dateien einfach löschen. Wir werden in Kürze ein Update zum EBÜS-Setup bereitstellen, welches log4j an den von uns identifizierten Stellen in Herstellern-SDKs automatisch löscht.

Sie sollten stets darauf achten, dass an der Firewall nur solche Ports durchgelassen werden, die zwingend benötigt werden und die mit Prozessen verbunden sind, die robust und vertrauenswürdig sind, von denen Sie also z.B. wissen, dass sie kein log4j verwenden. 

Bitte verfolgen Sie weiterhin die Sicherheitshinweise des BSI und die Hinweise auf unserer Website.
Bei speziellen Fragen und Hinweisen sprechen Sie uns bitte gern an. 

 

https://forum.filezilla-project.org/viewtopic.php?f=6&t=54338