Information zur Sicherheitslücke in der JAVA Bibliothek Log4j
Am Freitag, den 09.12.2021, wurde eine kritische Sicherheitslücke in der viel verbreiteten JAVA Bibliothek Log4j veröffentlicht. Hierbei handelt es sich um eine Sicherheitslücke, die mit der höchsten Warnstufe von Seiten des deutschen Bundesamtes eingestuft wurde. Wichtig hierbei ist zu beachten, dass diese Sicherheitslücke nur ab der Version 2.x in der Bibliothek Log4j auftritt.
Wir möchten Sie hier nun auf die Auswirkungen dieser Sicherheitslücke auf installierte Produkte im Bereich SIS REWE informieren.
Oracle Fusion Middleware Infrastructure (Application Server)
- Nicht betroffen!
- Es werden unsererseits keine Versionen dieser Software verwendet, bei denen eine Version ab 2.x von Log4j in relevantem Umfang zum Einsatz kommt. (Quellen: Support Document 2827793.1 von Oracle)
Oracle Database
- Nicht betroffen!
- Die Oracle Database ist lt. Oracle nicht angreifbar. (Quellen: Support Documents 2827611.1 bzw. 2796575.1 von Oracle)
Oracle SQL Developer
- Keine Standard SW-Installation/Konfiguration die von Seiten SIS gemacht wird, dient nur Ihrer Information!
- Teilweise betroffen!
- Der SQL Developer ist bis Version 19.2.1.247 NICHT betroffen.
- Falls Sie einen SQL Developer installiert haben, dann prüfen Sie bitte in einem ersten Schritt die Version ihrer Installation. Zu finden, nach Aufruf der Software unter Hilfe -> Info.
- Es gibt von Oracle bereits eine neue Version, mit der diese Sicherheitslücke behoben wurden. Die Version 21.4.1 ist unter folgender Seite (https://www.oracle.com/tools/downloads/sqldev-downloads.html) zum Download verfügbar.
- Fall Sie hier weitere Hilfe benötigen können Sie sich jederzeit an unseren Support wenden.
JasperReports Server
- Betroffen!
- Kunden, die das betrifft, wurden bereits von uns direkt kontaktiert.
- Es gibt dafür bereits einen Workaround, mit dem diese Sicherheitslücke geschlossen werden kann. Wir arbeiten gerade mit Hochdruck daran, bei allen betroffenen Kunden diesen Workaround zu implementieren.
Talend Open Studio
- Teilweise betroffen!
- Je nach Talend Open Studio Version kann hier diese Sicherheitslücke ebenfalls auftreten. (Quelle: Talend Log4j Info)
- Es wurden bereits Analysen durchgeführt, ob die jeweiligen Talend Open Studio Version der Kunden betroffen sind. Sollte dies der Fall sein wurden die Kunden, die das betrifft, bereits direkt von uns kontaktiert.
Bei weiteren Fragen stehen wir Ihnen gerne unter den Ihnen bekannten Kommunikationswegen zur Verfügung.
Eine weiterführende, aber nicht vollständige, Übersicht an Produkten und ob diese von der Sicherheitslücke betroffen sind ist zum Beispiel auf der Seite von Techsolvency zu finden
Mit freundlichen Grüßen ihr,
SIS Customer Support Team