Rangliste

Hier unsere konsolidierte Zugsamenfassung zu log4j Wie Sie in den Nachrichten sicherlich gehört haben, wurde eine kritische Schwachstelle in der Java Bibliothek „log4j“ gefunden. timeCard 6 verwendet diese Bibliothek in der Version 1.2.16. Primär ist jedoch die Version 2.x der „log4j“-Bibliothek betroffen. Das BSI hat in dem Update zu seiner Sicherheitswarnung auch darauf hingewiesen, dass unter bestimmten Bedingungen die Version 1.x verwundbar ist. Wir können hier jedoch Entwarnung geben! Lesen Sie weiter warum: Information vom BSI zu „log4j“-Schwachstelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8 Auf Seite 2 unter Update 4 wird berichtet, dass auch Version 1.x verwundbar ist. Lesen Sie hierzu die Diskussion unter [Git2021d] (https://github.com/apache/logging-log4j2/pull/608), in der dann bezüglich der Erläuterung der Schwachstelle in Version 1.x auf den Vulnerability Report verwiesen wird. Der Vulnerabilty Report „log4j" Version 1.x ist hier zu finden: https://security.snyk.io/vuln/SNYK-JAVA-LOG4J-2316893 In diesem Report werden Bedingungen genannt, welche erfüllt sein müssen, damit „log4j“ in der Version 1.x verwundbar ist. Es wird aufgeführt, dass JMSAppender aktiviert sein muss („The application has enabled JMSAppender“). Da timeCard 6 „JMSAppender“ nicht verwendet, kann diese Schwachstelle in timeCard 6 nicht ausgenutzt werden, womit die vom BSI gemeldete Angriffsmöglichkeit nicht auf timeCard 6 zutrifft! Unser aktuelles Produkt timeCard 10 ist in C# programmiert. Somit ist timeCard 10 von dieser Schwachstelle ebenfalls nicht betroffen. Wir empfehlen ein Upgrade auf timeCard 10, um die vielen neuen Funktionen nutzen zu können. Viele Grüße Ihr REINER SCT Team