Am letzten Wochenende ist bekannt geworden, dass die häufig verwendete Java-Bibliothek Log4j von einer kritischen Sicherheitslücke betroffen ist, welche dazu führt, das Remote-Code ausgeführt werden kann. In einer Sicherheitswarnung hat das BSI dazu die Warnstufe Rot ausgegeben.
Nähere Informationen dazu finden Sie HIER
AMAKURA hat diese Sicherheitslücke analysiert. Die gute Nachricht ist: Keine Anwendung der AMAKURA ist ein direktes Sicherheitsrisiko. In der vielfältigen Anwendungslandschaft der AMAKURA findet sich zwar die ein oder andere Software, welche Log4j implementiert hat. Allerdings sind diese Anwendungen aber entweder nicht direkt angreifbar, oder es werden kritische Funktionen nicht genutzt.
Welche Produkte sind betroffen?
Die nachfolgende Aufstellung zeigt eine Übersicht der AMAKURA Produkte, welche Log4j-Bibliothek implementiert ist und eine Beschreibung der eingeleiteten oder erforderlichen Maßnahmen.
| Anwendung | Status | Log4j-Lib | Beschreibung |
| BV | nicht betroffen | 1.2.12 | Remote-Logging über SocketServer wird nicht verwendet Keine Maßnahme notwendig |
| MaZ | betroffen, aber nicht direkt angreifbar | 2.11 | In einer ersten Maßnahme wurde, wie vom BSI empfohlen, die JNDI-Lookup-Funktion generell deaktiviert. Das Update dazu ist bereits verfügbar. Als weitere Maßnahme wird AMAKURA in Kürze eine neuere Version von Log4J einbinden und in einem weiteren Update zur Verfügung stellen, sobald der Qualitätssicherungsprozess durchlaufen ist. |
| ReV | nicht betroffen | 1.2.15 | Remote-Logging über SocketServer wird nicht verwendet Keine Maßnahme notwendig |
| SEPA | nicht betroffen | 1.2.17 | Remote-Logging über SocketServer wird nicht verwendet Keine Maßnahme notwendig |
| RiV | nicht betroffen | 1.2.15 | Remote-Logging über SocketServer wird nicht verwendet Keine Maßnahme notwendig |
| EBE | betroffen, aber nicht direkt angreifbar | 2.11 | In einer ersten Maßnahme wurde, wie vom BSI empfohlen, die JNDI-Lookup-Funktion generell deaktiviert. Das Update dazu ist bereits verfügbar. Als weitere Maßnahme wird AMAKURA in Kürze eine neuere Version von Log4J einbinden und in einem weiteren Update zur Verfügung stellen, sobald der Qualitätssicherungsprozess durchlaufen ist. |
| ASM | betroffen, aber nicht direkt angreifbar | 2.11 | In einer ersten Maßnahme wurde, wie vom BSI empfohlen, die JNDI-Lookup-Funktion generell deaktiviert. Das Update dazu ist bereits verfügbar. Als weitere Maßnahme wird AMAKURA in Kürze eine neuere Version von Log4J einbinden und in einem weiteren Update zur Verfügung stellen, sobald der Qualitätssicherungsprozess durchlaufen ist. |
| AMAKURA Bestandsverwaltung | nicht angreifbar | keine (.net) | Log4j ist nicht implementiert Keine Maßnahme notwendig |
| AMAKURA KPV | nicht angreifbar | keine (.net) | Log4j ist nicht implementiert Keine Maßnahme notwendig |
| SPV | nicht angreifbar | keine (Smalltalk) | Log4j ist nicht implementiert Keine Maßnahme notwendig |
| STV | nicht angreifbar | keine (VBA) | Log4j ist nicht implementiert Keine Maßnahme notwendig |
| dakotaAG (ITSG) | nicht angreifbar | keine (.NET) | Log4j ist nicht implementiert Keine Maßnahme notwendig |
Wie schützt AMAKURA seine Kunden?
Sollten Sie eines der betroffenen Produkte für sich identifizieren, haben wir entweder bereits Kontakt zu Ihnen aufgenommen oder werden dies in Kürze tun. Zögern Sie auch nicht, Ihren Kundenbetreuer zu kontaktieren oder nehmen Sie Kontakt zu unserem Servicedesk auf: servicedesk@amakura.de.