Wichtige Hinweise zur Sicherheitslücke:
Java Bibliothek "log4j"
Im Dezember 2021 wurde in einer weitverbreiteten und sehr häufig genutzten Java Bibliothek "log4j" eine ernste Sicherheitslücke entdeckt. Diese Sicherheitslücke wurde vom Bundesamt für Sicherheit in der Informationstechnik kurz BSI, auf die höchste Cyber-Sicherheitswarnstufe (Rot) gesetzt und muss damit unverzüglich beseitigt werden!
mmOrthosoft® selbst nutzt diese Bibliothek NICHT, aber wir können nicht einschätzen, welche Schnittstellen oder Drittsysteme die wir ansprechen, eventuell diese Bibliothek nutzen. Einzelne Anbieter haben bereits reagiert. Die dazu notwendigen Hinweise finden sie hier:
- Ladenkassen Anwender
So hat z.B. die Deutsche Fiskal, der Betreiber der Online TSE in der mmOrthosoft® Ladenkasse zwar darauf hingewiesen, dass die betroffene Bibliothek nicht eingesetzt wird, empfiehlt aber unbedingt die System-Umgebungsvariable
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
zu setzten, und dann den FCC neu zu starten.Zusätzlich wird die Deutsche Fiskal einen neuen FCC Version 3.2.4 veröffentlichen.
- Jobst Lexpert Anwender
- Weitere Programme ...
-
Die Sicherheitswarnung vom BSI wurde deshalb auf höchste Stufe gesetzt, weil externe Angreifer diese Sicherheitslücke ausnützen können und besonders die sogenannten Verschlüsselungstrojaner, die die gesamten Daten auf der Festplatte verschlüsseln und danach Lösegeld erpressen, genau diese Sicherheitslücke nutzen können.
Dadurch müssen Sie zwingend handeln!
Wir empfehlen Ihnen daher dringend:
Damit die kritische Schwachstelle in der Java Bibliothek log4j nicht von Angreifern genutzt werden kann, empfehlen wir Ihnen generell die System-Umgebungsvariable
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
auf ALLEN Computersystemen zu setzten und dann zwingend ALLE Computer komplett neu zu starten! -
Für die Techniker:
Hier finden Sie ein Prüfprogramm, mit dem Sie jeden PC über den Command Line Editor kurz CMD einzeln testen können!https://github.com/logpresso/CVE-2021-44228-Scanner
-
Hintergrundinformation: Betroffen ist die Java Bibliothek log4j in der Version kleiner/gleich 2.15. Erst ab der Version 2.16 ist diese Sicherheitslücke nicht mehr vorhanden.
-
Die Deutsche Fiskal, der Betreiber der Online TSE in der mmOrthosoft® Ladenkasse hat darauf hingewiesen, dass die betroffene Bibliothek nicht eingesetzt wird, empfiehlt aber ebenfalls unbedingt
Schritt 1: Die System-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true zu setzten, und dann
Schritt 2: den FCC neu zu starten.Zusätzlich wird die Deutsche Fiskal zeitnah (vorraussichtlich zum 17.12.2021) einen neuen FCC Version 3.2.4 veröffentlichen, der unkritisch die Bibliothek log4j Version 2.16 nutzt!
Wir werden dann gemeinsam mit Ihnen Installationstermine abstimmen und den neuen FCC installieren.
-
Bei einer kurzen Überprüfung haben wir die betroffene Bibliothek auch im Programm Minitool der Firma Jobst für den JOBST LEXPERT 360 gefunden.
Auch hier ist es notwendig die Umgebungsvariable "LOG4J_FORMAT_MSG_NO_LOOKUPS=true" zu setzen.
-
Weitere uns bekanntwerdende Programme werden wir hier kontinuierlich veröffentlich!
Setzen Sie auf allen Arbeitsplätzen und Servern die Umgebungsvariable "LOG4J_FORMAT_MSG_NO_LOOKUPS" auf den Wert "TRUE" mit dem Originalbefehl:
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
Ladenkassenanwender werden von uns über die Verfügbarkeit des FCC Version 3.2.4 informiert und können dann einen Installationstermin mit unserer Hot- & Helpline Technik verabreden!
-
Für die Techniker:
Hier finden Sie ein Prüfprogramm, mit dem Sie jeden PC über die Commandlineeditor kurz CMD einzeln testen können!
https://github.com/logpresso/CVE-2021-44228-Scanner -
Hintergrundinformation: Betroffen ist die Java Bibliothek log4j in der Version kleiner/gleich 2.14.1
Nehmen Sie Kontakt auf
Zum Thema Sicherheitslücke "log4j"