Wie Sie vermutlich der Presse und den Meldungen im Radio entnommen haben, gibt es eine Sicherheitslücke in einer Java-Bibliothek. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer kritischen Sicherheitslücke in Server-Software (Link zur BSI-Meldung). Die Schwachstelle betrifft die weit verbreitete Java-Bibliothek log4j und ermöglicht im Schadensfall die komplette Systemübernahme von außerhalb.

Wir haben natürlich umgehend die verschiedenen Produkte getestet und bei den Herstellern Informationen zu den verwendeten Technologien eingeholt. Nachfolgend finden Sie die entsprechenden Aussagen zu den einzelnen Produkten:

Die gute Nachricht für unsere ESET-Kunden: ESET Sicherheitslösungen erkennen die Schwachstelle und verhindern das Ausnutzen selbiger

Das Einspielen der verfügbaren Software-Security-Patches sollte unabhängig davon selbstverständlich umgehend erfolgen.

Haufe-Lexware | Lexware-Programme

Wir haben beruhigende Nachrichten für Sie: Ihre Lexware Software für den PC nutzt die beschriebene Bibliothek nicht. Das heißt: Aktuell besteht für Ihre Daten keinerlei Gefahr. Sie müssen also nicht aktiv werden und können wie gewohnt mit Ihrer Lexware Software weiterarbeiten.

Natürlich haben wir das Thema weiterhin im Blick, sodass wir – wenn nötig – sofort reagieren können.

BOME | ViaControl PayRoll – Digitale Übermittlung der Lohnabrechnung

Das PayRoll-Archiv ist nicht von der Sicherheitslücke betroffen. Wir haben das Modul nicht verwendet und können somit sicher sein, dass es zu keinem Sicherheitsproblem gekommen ist.

cobra | cobra CRM

Die von cobra entwickelten Software-Produkte:

  • cobra WEB PRO
  • cobra ADRESS PLUS
  • cobra CRM PLUS
  • cobra CRM PRO
  • cobra CRM BI
  • cobra Mobile CRM (Serverkomponente, Apps und Web Edition)
  • cobra Lead App

sind nicht javabasiert, verwenden deshalb die Software-Bibliothek log4j nicht und sind somit auch nicht von der Sicherheitslücke betroffen.

Haufe X360| ERP

Unser Cloud-ERP Haufe X360 nutzt die beschriebene Bibliothek nicht. Auch das Backend ist ausdrück­lich nicht betroffen. Aktuell besteht für die Daten unserer Kunden damit keinerlei Gefahr.

Zu dem Thema hat es bereits auch einen entsprechenden News­letter gegeben.

FIBUdata | FIBUscan

Weder FIBUscan noch eines der FIBUdata Tools (z.B. Webclient, Onlinehandel) sind von der Sicherheitslücke der log4j-Bibliothek betroffen. Die produkte sind nicht anfällig für entsprechende Exxploits. Alle Systeme sind dennoch einer erneuten Sicherheitsüberprüfung unterzogen worden. Diese hat ergeben, dass kein eingesetztes oder angebotenes Produkt hier betroffen ist.

Supportleiter FIBUdata Softwareentwicklung

REINER SCT – timeCard (Version 6.x)

ACHTUNG: Der Hersteller der Zeiterfassungs-Software timeCard räumt die Verwendung der Bibliothek von einem anderen Versionsstand innerhalb der timeCard 6.07.01 ein!

Betroffen sind hier wohl ältere Softwareprodukte – deshalb empfehlen wir auch immer auf die neusten Software-Versionen umzusteigen, denn nur mit aktuellen Softwareprodukten können Sie die erforderliche Sicherheit Ihrer DV-Systeme gewährleisten.

Lesen Sie hier die Informationen des Herstellers: log4j-Schwachstelle in timeCard 6

DATEV

DATEV hat bei Ihren Online-Anwendungen die direkt im DATEV-RZ verfügbar sind die vulnerable Bibliothek log4j im Einsatz. Bereits seit dem 11.12.2021 prüft DATEV mögliche Angriffe und hat wohl auch entsprechende Maßnahmen unternommen. Eine endgültige Information über mögliche notwendige Anpassungen an der lokalen DATEV-Software liegt uns noch nicht vor.

Kommentare sind geschlossen.