Nochmals Aktualisiertes jar-File mit log4j-Version 2.17.0 steht bereit
Am 19.12. veröffentlichte die Apache Software Foundation nochmals eine Version von Log4j, da die Entwickler auch in der Version 2.16.0 eine Schwachstelle entdeckt haben. Die neue Version 2.17.0 ist für uns der Grund, auch die PCS Patch-Version der Bibliothek zu aktualisieren. Wir haben inzwischen für den INTUS COM HTTPS-Server die Version 1.0.7 fertiggestellt.
Wie bereits mitgeteilt, ist die Java log4j-Bibliothek in dem HTTPS-Server von INTUS COM 3.4 und INTUS COM 3.5 enthalten. Wir stellen Ihnen – wie von der Apache Software Foundation empfohlen (https://logging.apache.org/log4j/2.x/security.html) – ein aktualisiertes jar-File inklusive der sicheren log4j-Bibliothek Version 2.17.0 für einen Austausch in Ihrem System bereit. Dieses jar-File und die Anleitung zum Austausch dieser Datei stehen zum Download bereit. Ebenso finden Sie es im PCS Support Center.
Wir haben Sie bereits informiert, wie Sie mit der system property log4j2.formatMsgNoLookups das Risiko schnell minimieren können. Weitere Recherchen der Apache Software Foundation haben ergeben, dass es erforderlich ist, das Update auf die log4j Version 2.17.0 durchzuführen, um das Risiko gänzlich auszuschließen. Falls Sie bereits die erstempfohlene Maßnahme durchgeführt haben, so muss dies nicht rückgängig gemacht werden.
Weitere Analyse von DEXICON 5.1 bis 5.4 bringt erfreuliches Ergebnis
Tiefere Analysen haben ergeben, dass die DEXICON 5.4 Komponenten selbst die sicherheitskritische log4j core-Bibliothek nicht enthalten. Jedoch beinhaltet DEXICON stets INTUS COM. Nur bei DEXICON Installationen mit den Versionen 5.1 bis 5.4 ist zu beachten, dass der INTUS COM HTTPS-Server als optionaler Bestandteil installiert werden konnte. Wir empfehlen Kunden mit den DEXICON Versionen 5.1 bis 5.4 daher zu prüfen, ob der INTUS COM HTTPS-Server tatsächlich installiert worden ist. In diesem Fall empfehlen wir auch den Austausch des jar-Files in Ihrem System.
Neue DEXICON- und INTUS COM-Version ab 12.01.22
Wir werden zudem auch entsprechende Patches für die aktuellen Versionen von DEXICON und INTUS COM ab dem 12.01.22 – wie bereits angekündigt – zur Verfügung stellen, welche die sichere log4j mit Version 2.16.0 enthalten wird. Dies werden die Versionen DEXICON 5.4.3 und INTUS COM 3.5.2 sein. Mit dem Einspielen dieser ersionen erfolgt das Upgrade auf die log4j-Bibliothek Version 2.16.0 automatisch und die Sicherheitslücke ist verlässlich geschlossen.
Generell gilt, wir möchten Sie so schnell und transparent wie möglich informieren. Wir haben eine vollständige Liste der PCS Softwareprodukte erstellt, aus der ersichtlich ist, welche Produkte/ Produktversionen verifiziert sicher, beziehungsweise betroffen sind, samt empfohlener Problemlösung. Diese Liste steht Ihnen ebenfalls zum Download und im PCS Support Center bereit. In Bezug auf die Applikationen von Drittanbietern sind wir in enger Abstimmung mit den jeweiligen Herstellern. Wir updaten diese Liste gemäß dem aktuellen Kenntnisstand regelmäßig.