Wichtige Hinweise zur Sicherheitslücke:

Java Bibliothek "log4j"

Im Dezember 2021 wurde in einer weitverbreiteten und sehr häufig genutzten Java Bibliothek "log4j" eine ernste Sicherheitslücke entdeckt. Diese Sicherheitslücke wurde vom Bundesamt für Sicherheit in der Informationstechnik kurz BSI, auf die höchste Cyber-Sicherheitswarnstufe (Rot) gesetzt und muss damit unverzüglich beseitigt werden!

mmOrthosoft® selbst nutzt diese Bibliothek NICHT, aber wir können nicht einschätzen, welche Schnittstellen oder Drittsysteme die wir ansprechen, eventuell diese Bibliothek nutzen. Einzelne Anbieter haben bereits reagiert. Die dazu notwendigen Hinweise finden sie hier: 

  • Ladenkassen Anwender

    So hat z.B. die Deutsche Fiskal, der Betreiber der Online TSE in der mmOrthosoft® Ladenkasse zwar darauf hingewiesen, dass die betroffene Bibliothek nicht eingesetzt wird, empfiehlt aber unbedingt die System-Umgebungsvariable

    LOG4J_FORMAT_MSG_NO_LOOKUPS=true
    zu setzten, und dann den FCC neu zu starten.

    Zusätzlich wird die Deutsche Fiskal einen neuen FCC Version 3.2.4 veröffentlichen.

     

     

  • Jobst Lexpert Anwender
  • Weitere Programme ...
  • Die Sicherheitswarnung vom BSI wurde deshalb auf höchste Stufe gesetzt, weil externe Angreifer diese Sicherheitslücke ausnützen können und besonders die sogenannten Verschlüsselungstrojaner, die die gesamten Daten auf der Festplatte verschlüsseln und danach Lösegeld erpressen, genau diese Sicherheitslücke nutzen können.

    Dadurch müssen Sie zwingend handeln!

    Wir empfehlen Ihnen daher dringend:
    Damit die kritische Schwachstelle in der Java Bibliothek log4j nicht von Angreifern genutzt werden kann, empfehlen wir Ihnen generell die System-Umgebungsvariable

    LOG4J_FORMAT_MSG_NO_LOOKUPS=true 

    auf ALLEN Computersystemen zu setzten und dann zwingend ALLE Computer komplett neu zu starten!

  • Für die Techniker:

    Hier finden Sie ein Prüfprogramm, mit dem Sie jeden PC über den Command Line Editor kurz CMD einzeln testen können!

    https://github.com/logpresso/CVE-2021-44228-Scanner

     

  • Hintergrundinformation:  Betroffen ist die Java Bibliothek log4j in der Version kleiner/gleich 2.15. Erst ab der Version 2.16 ist diese Sicherheitslücke nicht mehr vorhanden.

  •  

    Die Deutsche Fiskal, der Betreiber der Online TSE in der mmOrthosoft® Ladenkasse hat darauf hingewiesen, dass die betroffene Bibliothek nicht eingesetzt wird, empfiehlt aber ebenfalls unbedingt

    Schritt 1: Die System-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true zu setzten, und dann
    Schritt 2: den FCC neu zu starten.

    Zusätzlich wird die Deutsche Fiskal zeitnah (vorraussichtlich zum 17.12.2021) einen neuen FCC Version 3.2.4 veröffentlichen, der unkritisch die Bibliothek log4j Version 2.16 nutzt!

    Wir werden dann gemeinsam mit Ihnen Installationstermine abstimmen und den neuen FCC installieren.

  •  

    Bei einer kurzen Überprüfung haben wir die betroffene Bibliothek auch im Programm Minitool der Firma Jobst für den JOBST LEXPERT 360 gefunden.
    Auch hier ist es notwendig die Umgebungsvariable "LOG4J_FORMAT_MSG_NO_LOOKUPS=true" zu setzen.

     

  •  

    Weitere uns bekanntwerdende Programme werden wir hier kontinuierlich veröffentlich!

Flip Box

Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

This is The Hidden Text

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Flip Box

Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

This is The Hidden Text

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Flip Box

Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

This is The Hidden Text

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Setzen Sie auf allen Arbeitsplätzen und Servern die Umgebungsvariable "LOG4J_FORMAT_MSG_NO_LOOKUPS" auf den Wert "TRUE" mit dem Originalbefehl:

LOG4J_FORMAT_MSG_NO_LOOKUPS=true

Ladenkassenanwender werden von uns über die Verfügbarkeit des FCC Version 3.2.4 informiert und können dann einen Installationstermin mit unserer Hot- & Helpline Technik verabreden!

  • Für die Techniker:

    Hier finden Sie ein Prüfprogramm, mit dem Sie jeden PC über die Commandlineeditor kurz CMD einzeln testen können!


    https://github.com/logpresso/CVE-2021-44228-Scanner

  • Hintergrundinformation:  Betroffen ist die Java Bibliothek log4j in der Version kleiner/gleich 2.14.1

Nehmen Sie Kontakt auf

Zum Thema Sicherheitslücke "log4j"