impressedlogo
Impressed - Produktnews: Impressed ImpressedNews

ImpressedNews

Produktnews vom 14.12.2021

Übersicht zu Log4Shell Sicherheitslücke in Java Logging-Bibliothek Log4j (CVE-2021-44228)

Wie derzeit in fast jedem Online-Newsdienst nachzulesen ist (so z.B. beim Bundesamt für Sicherheit in der Informationstechnik oder bei heise.de) wurde eine kritische Sicherheitslücke namens Log4Shell in der verbreiteten Java-Logging-Bibliothek Log4j entdeckt, welcher es Angreifern ermöglicht, beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele Angebote kleinerer Dienstleister. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit. Dieses muss aber zunächst in neueren Releases aller Anbieter, welche diese Bibliothek nutzen eingebaut werden.

Wir haben bereits darauf reagiert, unsere eigenen Systeme daraufhin überprüft und die Hersteller von Software, welche von uns vertrieben wird angefragt, ob diese von dem Problem betroffen sind – und falls ja – ob bereits aktualisierte Versionen der Software zur Verfügung stehen.

Nachfolgend finden Sie eine ständig aktualisierte Liste mit den jeweiligen Antworten:

Impressed:

Alle von uns entwickelten Systeme (Impressed Workflow Server, Switch Scripte...) nutzen kein Java. Insofern sind unsere eigenen Systeme nicht von der Sicherheitslücke betroffen.

65bit:

Wir verwenden kein Java in unseren Produkten (EasyCatalog...), und daher auch kein log4j.

axaio software:

Log4j wird in keinem axaio-Produkt (MadeToPrint, MadeForLayers, MadeToTag...) eingesetzt

callas software:

Log4j wird nirgendwo in callas Produkten verwendet, weder direkt im Code noch indirekt in dem Code von Drittanbietern. Daher sind unsere Nutzer über unsere Lösungen in keiner Weise den kürzlich gefundenen und gemeldeten Schwachstellen in dieser Bibliothek ausgesetzt. Lesen Sie dazu auch die offizielle Mitteilung von callas software

ColorLogic:

Dies ist für ColorLogic Produkte (ColorAnt, CoPrA, ZePrA, DeviceLink-Profil-Sets...) nicht relevant, da wir kein Java und ausdrücklich nicht diese Bibliothek verwenden.

CSci Computer Science GmbH:

In allen Softwareprodukten (PDiff, d'accord etc.) sind keine Java-Komponenten enthalten, deshalb besteht kein Handlungsbedarf bzgl. log4j.

efi

Das Metrix-Team hat einen Patch für dieses Problem veröffentlicht, der auf den Metrix-Downloadseiten verfügbar ist. Es wird nicht als hohes Risiko angesehen, aber Vorsicht ist besser als Nachsicht. Die Downloads und weitere Informationen zum Vorgehen finden Sie unter: metrix-installers

Enfocus

Keines der Enfocus Produkte (Switch, PitStop, Enfocus Connect...inklusive aller Enfocus Apps, Enfocus Konfiguratoren etc.) ist von dem Log4shell Sicherheitsrisiko betroffen! Lesen Sie dazu auch die offizielle Mitteilung von Enfocus

Krause Biagosch:

Da KIM (Krause Imposition Manager) keine Java Applikation ist, sind wir von dieser Schwachstelle nicht betroffen!

PerfectPattern:

Wir haben unseren Dienst (sPrint One...) überprüft und wir sind nicht von CVE-2021-44228 betroffen!

Quite Software:

Keines der Quite-Produkte benötigt Java, somit ist der Code für alle Quite Produkte (Quite Imposing Plus, Quite HOT Imposing...) nicht betroffen!

Ultimate:

Ultimate TechnoGraphics möchte hiermit all seinen Partnern und Kunden versichern, dass wir die Log4j-Bibliothek in keiner unserer Lösungen verwenden. Wir empfehlen allen Anwendern dringend, die aktuelle Version unserer Lösungen zu verwenden und über einen jährlichen Wartungsvertrag oder als Subskription aktuell zu halten.

Zurück zur Übersicht