Eine kritische Schwachstelle (CVE-2021-44228) in einigen Versionen der Protokollierungsbibliothek Log4j für Java-Anwendungen ermöglicht es Angreifern, Schadcode auf Servern auszuführen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht eine extrem kritische Bedrohungslage. Wir informieren in diesem Artikel über den Stand mit Blick auf unsere Lösungen.
Sind cosinex Produkte betroffen?
Nach eingehender Prüfung unserer Softwarelösungen wissen wir, dass die Komponente Log4j von uns nicht oder nicht in den betroffenen Versionen eingesetzt wird. Dies gilt unter anderem für
- Vergabemanagementsystem
- Vergabemarktplatz/Bietertool
- Vergabekatalog
- xrechnung.io/E-Rechnung
- Microservices: nutscode.de, cpvcode.de, fristenrechner.de
Betriebsumgebungen sollten zeitnah geprüft werden
Um unsere Lösungen zu betreiben, sind Systemumgebungen erforderlich, auf denen weitere, nicht von uns bereitgestellte Komponenten zum Einsatz kommen – darunter etwa E-Mail-Infrastruktur, Webserver, etc. Für deren Integrität und ihre zeitnahe Überprüfung sind die jeweiligen Betreiber verantwortlich.
Betreibern einer Installation unserer Lösungen wird daher empfohlen, die eigene Infrastruktur auf möglicherweise betroffene Komponenten zu prüfen.
Auf den von uns betriebenen Systemen haben wir seit Bekanntwerden der Sicherheitslücke unter anderem die vom BSI empfohlenen Maßnahmen umgesetzt.
Update 14.12.21: JMS-Appender Funktionalität
Laut jüngsten Angaben des BSI sollen auch weitere Versionen der o.g. Bibliothek betroffen sein. In diesen Fällen sei laut BSI die Verwundbarkeit jedoch nur in Kombination mit einer individualisierten Programmkonfiguration ausnutzbar, so dass eine Ausnutzung weit weniger wahrscheinlich erscheint.
Bei den von uns bereitgestellten Standardkonfigurationen ist auch ausgehend von diesen Berichten ein Ausnutzen der Sicherheitslücke nicht möglich. Konkret geht es um die Konfiguration der JMS-Appender Funktionalität. Alle Betreiber werden daher gebeten vorsorglich zu prüfen, ob Änderungen vorgenommen wurden und die JMS-Appender-Funktionalität nicht aktiviert ist.