Aktuelles

20. Dezember 2021

Varial NEWS: Log4j-Sicherheitslücke

Für die IT-Branche wurde am vergangenen Freitag (10. Dezember 2021) vom BSI (Bundesamt für Sicherheit und Informationstechnik) Alarmstufe Rot ausgerufen: Eine gefährliche und leicht auszunutzende Schwachstelle in der Serversoftware „Log4j“ wurde entdeckt. Die Serversicherheit kann gefährdet sein. Unser Software-Partner INFOR hat sich zur Log4-j-Sicherheitslücke geäußert.

Mit unseren Kunden und Kundinnen, welche Varial nutzen, möchten wir das nachfolgende Statement vom 14.12.2021 vom Hersteller INFOR teilen.

Varial-Statement:

Das Bundesamt für Sicherheit und Informationstechnik hat am 12.12. auf eine Sicherheitslücke bei log4j hingewiesen. Demnach berichtet das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.

Die Varial World Edition / IGF ist von der log4j-Sicherheitslücke NICHT betroffen. Sowohl die Server-Applikation, als auch die Browser-Applikationen WIN und Selfservice verwenden das logback-Framework zur Protokollierung. Durch die Verwendung der Bibliothek log4j-over-slf4j werden eventuelle Aufrufe von log4j an logback umgeleitet.

Sollte der für WIN bzw. den Mitarbeiter Self Service genutzte Tomcat-Webserver des Kunden von der Sicherheitslücke betroffen sein, sollte der Kunde beim einem eventuell verfügbaren Sicherheits-Update des Tomcat unbedingt darauf achten, weiterhin eine Tomcat Version 9 zu nutzen. Für diese Version des Tomcat sind die genannten Applikationen freigegeben. Die Sicherheitseinstellungen des Tomcat liegen nicht in der Verantwortung von Infor, daher muss dies in den Kundenprojekten unbe

INFOR/Varial

Die Varial World Edition bzw. IGF ist demnach nicht von der log4j-Sicherheitslücke betroffen.

Achten Sie unbedingt darauf, eine Tomcat Version 9 zu nutzen, sollte der für Ihr WIN bzw. der für den Mitarbeiter Self Service genutzte Tomcat-Webserver von der Sicherheitslücke betroffen sein.