Eine kritische Schwachstelle in Log4j gefährdet aktuell die IT-Sicherheit zahlreicher Unternehmen. Unter diesem RSS-Feed werden wir Sie laufend mit neuesten Informationen in Bezug auf die von uns vertriebenen Softwarelösungen versorgen. Wir empfehlen Ihnen zudem, sich parallel bei den Herstellern direkt über deren Webseiten, Blog, Twitter, Foren etc. über Updates und entsprechende Sicherheitsvorkehrungen zu informieren.
Stand: 21.12.2021 / 12:30 Uhr
Altaro:
Die Softwarelösungen und auch die gehosteten Services aus dem Hause Altaro sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
AppRiver:
Alle bekannten Schwachstellen wurden umgehend erfolgreich geschlossen.
Carbonite:
Carbonite Server Backup: Diese Softwarelösung und auch die gehosteten Services aus dem Hause Carbonite sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
Carbonite Availability und Carbonite Migrate: Diese Softwarelösung ist laut Herstellerangaben von der Log4j-Lücke nicht betroffen:
ConnectWise:
Die von uns vertriebenen Softwarelösungen aus dem Hause ConnectWise sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
Cortex:
Die Softwarelösungen aus dem Hause Cortex I.T. (BackupAssist Classic, ER, 365) sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
ESET:
Die Softwarelösungen aus dem Hause ESET sind laut Herstellerangaben von der Log4j-Lücke teilweise betroffen.
HaloPSA:
Die Softwarelösungen aus dem Hause HaloPSA sind laut Herstellerangaben von der Log4j-Lücke mit sehr großer Wahrscheinlichkeit nicht betroffen. Detaillierte Untersuchen laufen aber zum aktuellen Zeitpunkt noch.
Hornetsecurity:
Die Hornetsecurity Gruppe hat hohe Anforderungen an die eigene IT Security. Zitat: "Wir führen in regelmäßigen Abständen automatisierte Schwachstellen-Scans durch, um frühzeitig IT Security Gefahren zu mitigieren. Die hierbei etablierten Prozesse haben uns geholfen, schnell auf das neue Risiko einzugehen, um unsere Infrastruktur und Services zu schützen.
Die Hornetsecurity Gruppe hat ihre Systeme systematisch überprüft, ob von der genannten Schwachstelle eine direkte oder indirekte Gefahr ausgeht. Dafür haben wir einen
- automatisierten Schwachstellen-Scan durchgeführt,
- die auf den jeweiligen Systemen installierten Software-Pakete und Abhängigkeiten geprüft ,
- Aussagen von Drittherstellern, deren Softwarepakete wir einsetzen, geprüft und mit unseren Ergebnissen verglichen.
Primäre Infrastruktur (Verwendung für die direkte Verarbeitung von Kundendaten)
Systeme dieser Stufe sind nicht von der Schwachstelle betroffen.
Sekundäre Infrastruktur (nachgelagerte Systeme, die indirekt Kundendaten verarbeiten)
Wir haben Systeme zur Verarbeitung von Metadaten identifiziert, die von der Schwachstelle betroffen sind.
Als Sofortmaßnahme wurden die zur Mitigationen empfohlenen Workarounds bereits durchgeführt. Die Netzwerksegmente der betroffenen Systeme sind nur für die Kommunikation mit Systemen der primären Infrastruktur freigegeben, ausgehender Datenverkehr blockiert. Ein durch die Ausnutzung der Lücke möglicher theoretischer Abfluss von Daten an Dritte ist dadurch nicht möglich.
Die Systeme werden außerhalb der mitteleuropäischen Geschäftszeiten, beginnend am 13.12.21, gepatcht. Mit dem Rollout der Patches auf alle Systeme rechnen wir bis spätestens 19.12.21. Wir rechnen nicht mit Beeinträchtigungen der Services.
Tertiäre Infrastruktur (Support- und interne Entwicklungssysteme, die keine Verbindung zu Systemen der Leistungserbringung haben)
Es wurden Systeme identifiziert, die von der Schwachstelle betroffen sind. Der Zugriff ist nur technischem Personal und Support-Mitarbeitern möglich. Das Risiko einer Ausnutzung der Lücke wird als sehr gering eingestuft.
Die betroffenen Systeme werden bedarfsorientiert innerhalb der nächsten 7 Tage gepatcht."
MailStore:
Die Softwarelösungen aus dem Hause MailStore sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
MDaemon Technologies:
Die Softwarelösungen aus dem Hause MDaemon Technologies sind laut Herstellerangaben von der Log4j-Lücke nicht betroffen.
N-able:
Die Lösungen aus dem Hause N-able waren laut Herstellerangaben zum Teil von der Log4j-Lücke betroffen.