Schwachstelle in Java-Bibliothek Log4j

Stand: 16.12.2021

Am Samstag, den 11.12.2021 wurde durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die bestehende Cyber-Sicherheitswarnung zu einer Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die aktuelle Fassung der Cyber-Sicherheitswarnung können Sie sich auf der Website des BSI durchlesen:

Zum PDF

Die Wilken Software Group hat umgehend eine interne Task Force initiiert, die alle Softwareprodukte aus allen Produktfamilien intensiv analysiert und bewertet. Nebst Schutzmechanismen im Netzwerk-Umfeld sowie Überwachung des Netzwerk-Traffic auf Log4j Sicherheitslücken, werden die Systeme identifiziert, auf denen die Softwarebibliothek Log4j vorhanden ist. Die relevanten Systeme werden auf Kompromittierung geprüft und abhängig vom System entweder mit Hersteller-Patches versorgt oder es werden empfohlene Migrationsmaßnahmen durchgeführt.

Bei unseren Untersuchungen setzen wir uns aktuell mit folgenden Schwachstellen auseinander:

Log4j 1.x

CVE-2021-4104 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104)
CVE-2019-17571 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571)

Log4j 2.x

CVE-2021-45105 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105)
CVE-2021-45046 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046)
CVE-2021-44228 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228)
CVE-2020-9488 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9488)

Nach eingehender Prüfung bewerten wir unsere Produktlinien/Komponenten wie folgt:

Produktlinie/Komponente	Bewertung 15.12.2021
Wilken CS/2	kein Risiko
Wilken ECM/DMS	kein Risiko
Wilken E-Marketing Suite	kein Risiko
Wilken ENER:GY	kein Risiko
Wilken Entire ERP	kein Risiko
Wilken E-Procurement	kein Risiko
Wilken NTS.suite	kein Risiko
Wilken One2One Portale	kein Risiko
Wilken P/5W 1.x	kein Risiko
Wilken P/5W 2.x	kein Risiko
Wilken P/5W 2.x Gateway	kein Risiko
Wilken P/5W 2.x HeiKo	geringes Risiko - Komponente indirekt vorhanden, Direktansprache durch Wilken erfolgt
Wilken P/5W 2.x SmartCard WebPXE	kein Risiko
Wilken P/5W 2.x SMGA	kein Risiko
Wilken S4 Download-Portal	kein Risiko
Wilken S4 Kassenbuch	kein Risiko
Wilken Smart Service Center (SSC)	kein Risiko
Asset Mobile App	kein Risiko
Workforcemanagement	kein Risiko
Gehostete Drittsoftware	keine Einschätzung - bitte beachten Sie die Hinweise der Dritthersteller

Über diese Seite werden wir Sie laufend zu Neuigkeiten und gegebenenfalls anstehenden Maßnahmen informieren. Zusätzlich bieten wir in regelmäßigen Abständen Mailings zu diesem Thema an. Dazu können Sie sich gerne in unseren eigens dafür eingerichteten Verteiler aufnehmen lassen.

Bei Rückfragen wenden Sie sich gerne an Ihren Wilken Ansprechpartner oder nutzen Sie unser allgemeines Kontaktformular.