Jump to content

timeCard und log4j-Schwachstelle


Empfohlene Beiträge

Guten Tag-

Vielen Dank für die Antwort. Das BSI hat seinen Bericht mittlerweile aktualisiert und meint dass auch 1.x-Versionen anfällig seien:

Quote

Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch in den Versionen 1.x verwundbar

Ich habe unseren Server mit TimeCard 6 geprüft und bei uns ist 1.2.16 und 1.2.8 vorhanden.

Können Sie Handlungsempfehlungen geben? Wir haben unseren TimeCard-Server vorübergehend abgeschaltet...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hier unsere konsolidierte Zugsamenfassung zu log4j

Wie Sie in den Nachrichten sicherlich gehört haben, wurde eine kritische Schwachstelle in der Java Bibliothek „log4j“ gefunden. timeCard 6 verwendet diese Bibliothek in der Version 1.2.16.

Primär ist jedoch die Version 2.x der „log4j“-Bibliothek betroffen. Das BSI hat in dem Update zu seiner Sicherheitswarnung auch darauf hingewiesen, dass unter bestimmten Bedingungen die Version 1.x verwundbar ist. Wir können hier jedoch Entwarnung geben!

Lesen Sie weiter warum:
 
Information vom BSI zu „log4j“-Schwachstelle:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8
 
Auf Seite 2 unter Update 4 wird berichtet, dass auch Version 1.x verwundbar ist. Lesen Sie hierzu die Diskussion unter [Git2021d] (https://github.com/apache/logging-log4j2/pull/608), in der dann bezüglich der Erläuterung der Schwachstelle in Version 1.x auf den Vulnerability Report verwiesen wird.
 
Der Vulnerabilty Report „log4j" Version 1.x ist hier zu finden:
https://security.snyk.io/vuln/SNYK-JAVA-LOG4J-2316893
 
In diesem Report werden Bedingungen genannt, welche erfüllt sein müssen, damit „log4j“ in der Version 1.x verwundbar ist. Es wird aufgeführt, dass JMSAppender aktiviert sein muss („The application has enabled JMSAppender“).

Da timeCard 6 „JMSAppender“ nicht verwendet, kann diese Schwachstelle in timeCard 6 nicht ausgenutzt werden, womit die vom BSI gemeldete Angriffsmöglichkeit nicht auf timeCard 6 zutrifft!
 
Unser aktuelles Produkt timeCard  10 ist in C# programmiert. Somit ist timeCard  10 von dieser Schwachstelle ebenfalls nicht betroffen. Wir empfehlen ein Upgrade auf timeCard  10, um die vielen neuen Funktionen nutzen zu können.


Viele Grüße
 
Ihr REINER SCT Team

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo Christoph-vW,

danke für den Beitrag, hier noch der zugehörige Report: https://security.snyk.io/vuln/SNYK-JAVA-LOG4J-572732

Auch bei diesem Fehler von log4j (der übrigens schon länger bekannt ist) geht es darum, dass der zu loggende Inhalt serialisiert wird und dann wieder fehlerhaft deserialisiert wird. Da wir dieses Feature in timeCard 6 nicht verwenden, ist timeCard 6 hiervon ebenfalls nicht betroffen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Steht doch weiter oben:

Quote

In diesem Report werden Bedingungen genannt, welche erfüllt sein müssen, damit „log4j“ in der Version 1.x verwundbar ist. Es wird aufgeführt, dass JMSAppender aktiviert sein muss („The application has enabled JMSAppender“).

Da timeCard 6 „JMSAppender“ nicht verwendet, kann diese Schwachstelle in timeCard 6 nicht ausgenutzt werden, womit die vom BSI gemeldete Angriffsmöglichkeit nicht auf timeCard 6 zutrifft!

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.