Sicherheitslücke Java-Bibliothek «Log4j»

Update vom 17.12.2021

Zwischenzeitlich zeigt sich ein klareres Bild und wir wissen, dass wenige unserer Kunden von der Sicherheitslücke betroffen sind.

Die Übersicht aller betroffenen d.velop-Komponenten mit Handlungsempfehlungen  finden Sie im Knowledge-Base-Artikel der d.velop, der laufend aktualisiert wird. 

Beim Kreditorenworkflow Xpert.APF sind Nutzer der Version 3 nicht von der Sicherheitslücke betroffen. Mit den Kunden, welche die Version 4 im Einsatz stehen haben, sind wir in Kontakt.  

Haben Sie Fragen? Dann wenden Sie sich bitte an unser Support-Team über support@adeon.ch oder +41 55 451 50 99.

--- 

14.12.2021 – Die bekannt gewordene Sicherheitslücke in der Java-Protokollierungsbibliothek «Log4j» wird als kritisch eingestuft, weil sie einem Angreifer erlaubt, aus der Ferne beliebigen Code auszuführen («Remote Code Execution - RCE»).
 
Komponenten der d.velop-Software sind ebenfalls potenziell davon betroffen, weil sie die log4j-Bibliothek nutzen. Die d.velop arbeitet mit Hochdruck daran, diese zu identifizieren und umgehend mit Patches auszustatten, um ein Risiko für Systeme auszuschliessen. Alle aktuellen Erkenntnisse finden Sie hier.
 
Auch der Kreditorenworkflow Xpert.APF ist davon betroffen. Informationen dazu finden Sie hier (Axon Ivy). Das Entwicklerteam arbeitet an der Identifizierung und wir halten Sie auf dem Laufenden.

Was können Sie tun?
Sowohl das Nationale Zentrum für Cybersicherheit NCSC als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI empfehlen, Sicherheits-Patches rasch einzuspielen.

Als kurzfristige Massnahme raten wir Ihnen dazu, auf den Serversystemen die Umgebungsvariable «Dlog4j2.formatMsgNoLookups=True» zu setzen (Anleitung BSI zum Download).

Haben Sie Fragen? Dann wenden Sie sich bitte an unser Support-Team über support@adeon.ch oder +41 55 451 50 99.