Sicherheitsupdate: log4j/log4shell CVE-2021-44228: Unterschied zwischen den Versionen
| (56 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Einführung == | == Einführung == | ||
| − | Hiermit nehmen wir Bezug auf die veröffentlichte | + | Hiermit nehmen wir Bezug auf die veröffentlichte Sicherheitslücken in der log4j Bibliothek, welche von vielen Softwareanbietern zum Handling von Protokollierungs-/Logdateien verwendet wird und so auch in Verwendung der von uns bereitgestellten Applikationen ist. |
| − | Die von | + | Die von HEIDLER betroffenen Applikationen, welche demnach log4j in den kritischen Versionen 2.0 - 2.17.0 verwenden, finden Sie unten aufgelistet! Das HVS32 an sich ist nicht davon betroffen, allerdings einige Teil-Komponenten/Dienste. |
| − | Das HVS32 an sich ist nicht davon betroffen, allerdings einige Teil-Komponenten/Dienste. | ||
| + | Da die Applikationen der HEIDLER Strichcode GmbH, welche die betroffene Bibliothek log4j nutzen, in Ihrem gesicherten Intranet auf einem i.d.R. von außen unzugänglichen Server installiert sind und ausschließlich mit Ihrem Vorsystem, anderen Applikationen der HEIDLER Strichcode GmbH in Ihrem Intranet und Clientside mit den Webservern der Frachtdienstleister kommunizieren, ist ein Ausnutzen der log4j Sicherheitslücken in Abhängigkeit Ihrer Infrastruktur und grundlegenden IT-Sicherheitsmaßnahmen eher unwahrscheinlich, '''wobei wir dennoch dringend eine Aktualisierung der betroffenen Softwarekomponenten empfehlen!''' | ||
| − | + | Bitte teilen Sie unserem Support eine Liste aller HEIDLER Software-Komponenten mit, welche auf Ihrem HVS32 Server installiert sind. Hierzu können Sie z.B. mittels der Windows-Suche nach "log4j*.jar" suchen und uns die Liste der Dateipfade zukommen lassen, oder via “Programme und Features” die installierten Dienste samt Versionsinfos auslesen. | |
| − | + | Ein Mitarbeiter des HEIDLER Software-Support wird Ihnen dann alle entsprechenden neuen Setups für die Aktualisierung zur Verfügung stellen und Sie bei Bedarf bei der Installation unterstützen. Grundlegend können Sie die Updates selbstständig durchführen, je nach Komponente kann eine Downtime des Gesamtsystems/Versandprozesses erforderlich sein. | |
| + | '''Um ein Update durchzuführen, starten Sie das heruntergeladene Setup und folgen Sie den Installations-Anweisungen. Im Anschluss muss überprüft werden, ob der jeweilige Windows-Dienst (Nicht bei jeder Applikation vorhanden) gestartet ist. Zusätzliche Informationen diesbezüglich finden Sie in der Spalte Update Hinweise!''' | ||
| − | Bitte | + | Bitte beachten Sie weiterhin, dass diese Sicherheitslücke auch andere Teile Ihrer Infrastruktur (unabhängig Heidler Komponenten) betreffen kann/wird, da es sich bei log4j um eine sehr verbreitete Bibliothek handelt, welche demnach in sehr vielen Applikationen verwendet wird (Cisco, VMWare, Oracle, ...)! |
| − | + | == Sicherheitsbedrohungen == | |
| + | Die log4j Versionen 2.0 bis 2.17.0 sind von mehreren Sicherheitslücken betroffen die aktuell von den Sicherheitsbehörden von mittel bis kritisch eingestuft sind. | ||
| − | + | CVE-2021-44228 (CVSS-Score 10.0/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-44228 | |
| + | CVE-2021-45046 (CVSS-Score 9.0/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-45046 | ||
| − | + | CVE-2021-45105 (CVSS-Score 7.5/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-45105 | |
| + | |||
| + | CVE-2021-44832 (CVSS-Score 6.6/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-44832 | ||
| + | |||
| + | === Handlungsbedarf === | ||
| + | '''Es besteht dringender Handlungsbedarf! Die von Ihnen eingesetzten betroffenen Applikationen sollten schnellstmöglich auf eine Version aktualisiert werden, welche log4j 2.17.1 verwendet!''' | ||
| + | |||
| + | '''Versionsnummern der Heidler Dienste welche bereits log4j 2.17.1 verwenden, lesen Sie in Spalte 4 der Tabelle aus.''' | ||
| + | |||
| + | Stand 30.12.2021 | ||
== Versionsnummer der Heidler Dienste auslesen == | == Versionsnummer der Heidler Dienste auslesen == | ||
| − | Alle in nachfolgender Tabelle aufgelisteten Heidler Dienste sind von der Sicherheitslücke betroffen. | + | {| |
| − | '''Wichtig:''' Heidler Dienste, deren Versionen älter/geringer sind, wie die in der Tabelle aufgelisteten, sind nicht betroffen! | + | |- style="vertical-align:top;" |
| − | + | | Um herauszufinden, welche Version die bei Ihnen installierten Heidler Software-Komponenten haben, klicken Sie mit der rechten Maustaste auf die jeweilige EXE Datei -> Eigenschaften -> Details -> Dateiversion. | |
| − | + | | [[Datei:Commanager details-dateiversion.png|frameless|mini|Version anzeigen]] | |
| + | |} | ||
| + | |||
| + | == Übersicht der betroffenen Applikationen samt Versionshinweise == | ||
| + | Alle in nachfolgender Tabelle aufgelisteten Heidler Dienste sind von der Sicherheitslücke betroffen. | ||
| + | |||
| + | '''Wichtig:''' Heidler Dienste, deren Versionen älter/geringer sind, wie die in der Tabelle aufgelisteten, sind nicht betroffen! | ||
| + | |||
| + | Es wurde aufgelistet, ab welcher Version eine Software-Applikationen von den aktuellen log4j / log4shell Sicherheitslücken (CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832) betroffen ist. Ältere Versionen sind nicht betroffen, da hier andere Komponenten zur Protokollierung verwendet werden, welche von den o.g. log4j Sicherheitslücken nicht betroffen sind. | ||
| + | |||
| + | Sollten Sie nicht wissen, welche Komponenten bei Ihnen installiert sind, suchen Sie in Ihrer Windows-Dienstverwaltung (services.msc) entsprechend nach den gelisteten Dienstnamen. | ||
| + | |||
| + | Haben Sie andere Heidler Dienste im Einsatz, welche Sie nicht in der Tabelle finden, sind diese auch explizit nicht betroffen - die nicht betroffenen Applikationen finden Sie am Ende des Artikels separat aufgelistet. Sollten Sie sich dennoch unsicher sein, senden Sie den Dienstnamen samt Versionsinfo zur Prüfung an unseren Support. | ||
| − | + | '''Spaltenübersicht''' | |
| − | + | ||
| − | + | * Projektname: Name der Applikation | |
| − | + | * Betroffen ab: Version, ab welcher die Applikation von einer der oben genannten Sicherheitslücke betroffen ist. | |
| − | + | * log4j 2.x Version ab: Version, ab welcher die genannte log4j Version verwendet wird | |
| − | + | * Dienstname: Name vom Dienst der Applikation. Kann bei mehrfach Installationen abweichen. | |
| + | * Updatehinweise: Punkte die beim Update unbedingt beachtet werden müssen! | ||
Sollte in den Update-Hinweisen ein Update auf Firebird 2.5.x erforderlich sein, finden Sie weitere Informationen diesbezüglich unter [[Upgrade Firebird Datenbank-Engine]] | Sollte in den Update-Hinweisen ein Update auf Firebird 2.5.x erforderlich sein, finden Sie weitere Informationen diesbezüglich unter [[Upgrade Firebird Datenbank-Engine]] | ||
| − | {| class="wikitable | + | {| class="wikitable" |
| − | + | |'''Projektname''' | |
| − | + | |'''Betroffen ab Version''' | |
| − | + | |'''log4j 2.17.1 ab Version''' | |
| − | + | |'''Dienstname''' | |
| − | + | |'''Update Hinweise''' | |
| − | |||
|- | |- | ||
|AddressCheck | |AddressCheck | ||
|1.0.0.2 | |1.0.0.2 | ||
| − | |1. | + | |1.0.0.4 |
| − | |||
|Heidler-AddressCheck | |Heidler-AddressCheck | ||
| | | | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
|- | |- | ||
|CaptureTool | |CaptureTool | ||
|1.0.1.20 | |1.0.1.20 | ||
| − | |1.1.1. | + | |1.1.1.38 |
| − | |||
| - | | - | ||
| | | | ||
| Zeile 65: | Zeile 80: | ||
|CarrierAPI | |CarrierAPI | ||
|2.5.0.334 | |2.5.0.334 | ||
| − | |2.8. | + | |2.8.2.510 |
| + | |HeidlerCarrierAPI | ||
| | | | ||
| − | + | * Nicht im laufenden Betrieb möglich | |
| − | |||
|- | |- | ||
|ComManager | |ComManager | ||
|1.0.0.0 | |1.0.0.0 | ||
| − | |1.2.0. | + | |1.2.0.114 |
| + | |Heidler-ComManager | ||
| | | | ||
| − | |Heidler- | + | * [[Upgrade Firebird Datenbank-Engine|INKOMPATIBEL mit Firebrid 1.5 ! Bei Verwendung von Firebird 1.5 ist vor Dienstupdate zwingend ein Firebird Update auf 2.5.x notwendig]] |
| + | * Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | ||
| + | * Nicht während Tagesabschluss durchführen - sonst zur Laufzeit aktualisierbar | ||
| + | * '''Nach Update den [[HVS32 Communication Manager|ComManager Konfigurator]] starten, ein beliebiges Modul öffnen, mit OK bestätigen und speichern. Danach erst den Dienst starten!''' | ||
| + | |- | ||
| + | |CUBE³ | ||
| + | |0.0.0.1 | ||
| + | |0.1.5.x | ||
| + | |Heidler-CUBE3_* | ||
| | | | ||
| − | * | + | * Nicht im laufenden Betrieb möglich |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
|- | |- | ||
|CubeUI | |CubeUI | ||
|2.0.1.65 | |2.0.1.65 | ||
| − | | | + | | - |
| − | |||
| - | | - | ||
| | | | ||
| Zeile 94: | Zeile 111: | ||
|DataGatewayServer | |DataGatewayServer | ||
|3.7.0.613 | |3.7.0.613 | ||
| − | |3.8.1. | + | |3.8.1.669 |
| − | |||
|DataGatewayServer | |DataGatewayServer | ||
| | | | ||
| − | *Nicht im laufenden Betrieb möglich | + | * Nicht im laufenden Betrieb möglich |
| − | + | * Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | |
| − | *Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | + | * [[#Aktualisierung_vom_SAP_Java_Connector_.28SAP_JCO.29_3.0_auf_3.1|Aktualisierung vom SAP Java Connector (SAP JCO)]] |
| − | | | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
|- | |- | ||
|GLSBoxService | |GLSBoxService | ||
|1.0.1.10 | |1.0.1.10 | ||
| − | |1.2.0. | + | |1.2.0.16 |
| + | |GLSBoxService | ||
| | | | ||
| − | + | * Nicht im laufenden Betrieb möglich | |
| − | |||
|- | |- | ||
|HFMS | |HFMS | ||
|1.2.6.54 | |1.2.6.54 | ||
| − | |1.7. | + | |1.7.2.259 |
| − | |||
|Heidler-TarifWerk | |Heidler-TarifWerk | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| | | | ||
| + | * Nicht im laufenden Betrieb möglich sofern das Plugin SPM verwendet wird | ||
| + | * Für Updates von Version <= 1.6.4: [[Plugin installieren / aktualisieren (Tarifwerk)|Bitte auch alle Plugins aktualisieren]] | ||
|- | |- | ||
| − | |HVS32DBService / | + | |HVS32DBService / DB Archivierung |
|4.2.0.388 | |4.2.0.388 | ||
| − | |4.5. | + | |4.5.1.8 |
| − | |||
|HVS32DBService | |HVS32DBService | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| | | | ||
| + | * [[Upgrade Firebird Datenbank-Engine|INKOMPATIBEL mit Firebrid 1.5 ! Bei Verwendung von Firebird 1.5 ist vor Update des HVS32DBService zwingend ein Firebird Update auf 2.5.x notwendig]] | ||
|- | |- | ||
|HVS32Monitoring | |HVS32Monitoring | ||
|1.2.1.77 | |1.2.1.77 | ||
| − | |1.4.2. | + | |1.4.2.108 |
| − | |||
|HVS32MonitoringService | |HVS32MonitoringService | ||
| | | | ||
| − | *[[ | + | * [[Upgrade Firebird Datenbank-Engine|INKOMPATIBEL mit Firebrid 1.5 ! Bei Verwendung von Firebird 1.5 ist vor Update des HVS32MonitoringService zwingend ein Firebird Update auf 2.5.x notwendig]] |
| − | + | * Nicht im laufenden Betrieb möglich | |
| − | *Nicht im laufenden Betrieb möglich | + | * Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") |
| − | |||
| − | *Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | ||
|- | |- | ||
|HVS32MonitoringLight | |HVS32MonitoringLight | ||
|1.3.1.13 | |1.3.1.13 | ||
| − | |1.5.2. | + | |1.5.2.31 |
| − | |||
|HVS32MonitoringServiceLight | |HVS32MonitoringServiceLight | ||
| | | | ||
| − | *Nicht im laufenden Betrieb möglich | + | * Nicht im laufenden Betrieb möglich |
| − | + | * Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | |
| − | *Vor Update den im Windows-Dienst hinterlegten Benutzer notieren und nach dem Update erneut eintragen (Rechtsklick auf den Windows-Dienst > Eigenschaften > Reiter "Anmelden" > "Dieses Konto") | ||
|- | |- | ||
| − | | | + | |Leitcode |
| − | | | + | |3.0.0.10 |
| + | |3.2.1.36 | ||
| + | |Heidler-Leitcode | ||
| | | | ||
| + | * Nicht im laufenden Betrieb möglich | ||
| + | |- | ||
| + | |MobileTape-Gateway | ||
| + | |1.0.1.423 | ||
| + | |1.2.0.7 | ||
| + | |Heidler-MobileTape_Gateway | ||
| | | | ||
| + | * Nicht im laufenden Betrieb möglich | ||
| + | |- | ||
| + | |ScaleService V2 | ||
| + | |2.0.1.37 | ||
| + | |2.2.1.55 | ||
| + | |Heidler-ScaleService | ||
| | | | ||
| + | * Nicht im laufenden Betrieb möglich | ||
|- | |- | ||
| − | | | + | |SEMWeb |
| − | | | + | |1.0.0.0 |
| − | |3. | + | |1.3.0.152 |
| + | |Heidler-SEMWeb | ||
| | | | ||
| − | |||
| − | |||
|- | |- | ||
| − | | | + | |Statusdatenamanger |
| − | |1.0. | + | |1.0.0.0 |
| − | |1. | + | |1.4.3.152 |
| + | |Heidler-StatusdatenManager | ||
| | | | ||
| − | | | + | * [[Upgrade Firebird Datenbank-Engine|INKOMPATIBEL mit Firebrid 1.5 ! Bei Verwendung von Firebird 1.5 ist vor Update des StatusdatenManager zwingend ein Firebird Update auf 2.5.x notwendig]] |
| − | | | + | * [[#Aktualisierung_vom_SAP_Java_Connector_.28SAP_JCO.29_3.0_auf_3.1|Aktualisierung vom SAP Java Connector (SAP JCO)]] |
|- | |- | ||
| − | | | + | |Verladefreigabe |
| − | | | + | |2.0.1.11 |
| − | | | + | |2.2.0.38 |
| + | |Heidler-VerladefreigabeService | ||
| | | | ||
| + | * [[Upgrade Firebird Datenbank-Engine|INKOMPATIBEL mit Firebrid 1.5 ! Bei Verwendung von Firebird 1.5 ist vor Update des VerladefreigabeService zwingend ein Firebird Update auf 2.5.x notwendig]] | ||
| + | * Nicht im laufenden Betrieb möglich | ||
| + | * Kann nur in Verbindung mit der Desktop- / Mobile-APP aktualisiert werden | ||
| + | * '''Nicht kompatibel mit der Version 1.X.X.X. Darf nicht aktualisiert werden, wenn noch alte mobile Geräte (z.B. Honeywell) im Einsatz sind!''' | ||
| + | |- | ||
| + | |WatchLog | ||
| + | |1.0.1.9 | ||
| + | |1.2.0.26 | ||
| + | |Heidler-WatchLog | ||
| | | | ||
| − | |Nicht | + | |} |
| + | |||
| + | === Handlungsbedarf trotz bereits getätigter Updates (bis 30.12.2021): Dienstversionen zwingend nochmals prüfen === | ||
| + | Haben Sie bereits Updates der Heidler Dienste durchgeführt, sollten Sie zwingend prüfen, ob die installierten Versionen bereits in der obigen Tabelle in Spalte 4 gelistet sind und somit bereits log4j v2.17.1 verwenden. | ||
| + | |||
| + | Da kurz nacheinander (10.12., 13.12., 15.12., 28.12) vier unterschiedliche Sicherheitslücken in log4j entdeckt und gepatcht wurden, konnten auch wir nur die jeweilig verfügbaren aktuellsten log4j Versionen (2.15, 2.16, 2.17.0, final 2.17.1) in unsere Installer integrieren. | ||
| + | |||
| + | Das heißt: haben Sie von uns zugesendete Setups vor dem 30.12.2021 heruntergeladen und installiert, werden Sie höchstwahrscheinlich Versionen erhalten und eingespielt haben, welcher weiterhin Sicherheitslücken aufweisen. In diesem Fall ist es daher zwingend erforderlich Ihre Heidler Dienste mindestens auf eine Version zu aktualisieren welche in Spalte 3 gelistet ist. | ||
| + | |||
| + | Ist Ihre Version geringer/älter, müssen Sie erneut Updates durchführen um alle Sicherheitslücken zu schließen. | ||
| + | |||
| + | Haben Sie demnach schon Downloadlinks erhalten, sind hinter den identischen Downloadlinks IMMER die aktuellsten Versionen unserer Dienste hinterlegt. Somit können mit den gleichen Links die immer neuesten Versionen heruntergeladen werden und dadurch auch ein einfacher Vergleich zu Ihrem vorherig heruntergeladenen Version gemacht werden. | ||
| + | |||
| + | == Update Vorgehensweise == | ||
| + | {| | ||
| + | |'''Bitte beachten Sie unbedingt die Applikationsbezogenen Update Hinweise in entsprechender Spalte der obigen Tabelle.''' | ||
| + | Sollten Sie über ein HVS32 Testsystem/Testserver verfügen, spielen Sie die Updates zuerst auf dem Testsystem ein! | ||
| + | |||
| + | Automatische Erkennung des Dienstpfades | ||
| + | |||
| + | Grundlegend sind die Update-Setups einfach ausführbar, die vorherige Dienst-Version wird automatisch erkannt und kann durch Bestätigung entsprechend aktualisiert werden. Die Setups sollten immer per '''Rechtsklick -> Als Administrator''' ausführt werden, damit ausreichend Berechtigungen vorhanden sind und jede Komponente vollständig aktualisiert werden kann. | ||
| + | |||
| + | Nach erfolgtem Update sollte geprüft werden, ob der entsprechende Windows-Dienst auch wieder gestartet ist. | ||
| + | |||
| + | Sollten Sie von einer Heidler Applikation mehrere Instanzen parallel auf einem Server betreiben (Beispiel: HVS32 Monitoring, DataGatewayServer,...) ist bei der Update-Installation jeweils manuell der Pfad zur Aktualisierenden Instanz anzugeben (z.B. C:\Heidler\HVS32Monitoring_Auto01), und das Setup anschließend pro Instanz auszuführen, unter Angabe des jeweiligen Installationspfades. | ||
| + | |||
| + | Manuelle Pfadangabe bei mehreren Instanzen | ||
| + | |[[Datei:Update java dienst 01.png|mini|Automatische Erkennung des Dienstpfades]][[Datei:Hvs32monitoring unterschiedlicherPfad01.png|mini|Manuelle Pfadangabe bei Update]] | ||
| + | |} | ||
| + | |||
| + | == Inkompatibilität bei veralteten Systemen (Firebird 1.5) == | ||
| + | Gemäß der Spalte "Update Hinweise" o.g. Tabelle sind einige Dienste in Ihrer neuesten Version nicht mehr kompatibel mit Systemen, welche noch die Datenbankengine Firebird in Version 1.5 einsetzen. | ||
| + | |||
| + | Sollten Sie also einen Dienst im Einsatz haben, welcher entsprechend notierte Abhängigkeit mit Firebird hat, dürfen Sie das Dienstupdate nicht durchführen, da dadurch keine Funktionalität mehr gegeben ist! | ||
| + | |||
| + | Setzen Sie noch Firebird 1.5 ein und sind von o.g. Dienst-Updates betroffen, muss Ihr System zuvor auf Firebird 2.5 migriert werden. Weitere Informationen sehen Sie in folgendem Artikel: [[Upgrade Firebird Datenbank-Engine]] | ||
| + | |||
| + | == Aktualisierung vom SAP Java Connector (SAP JCO) 3.0 auf 3.1 == | ||
| + | Bei der Verwendung vom SAP JCO und Aktualisierung dieser Komponente ist darauf zu achten, dass alle Komponenten, welcher der SAP JCO verwendet ebenfalls aktualisiert werden müssen. So nutzt und setzt der SAP JCO 3.0 Treiber die Microsoft Visual Studio C/C++ 2005 Version voraus, welche mit der SAP GUI installiert wird. Bei der aktuellsten SAP JCO 3.1 Version wird jedoch die Visual C++ 2013 Version benötigt. | ||
| + | Sollte die Version nicht vorhanden sein, so erhält man vom SAP JCO folgende Fehlermeldung: | ||
| + | <br> | ||
| + | ''java.lang.ExceptionInInitializerError: JCo initialization failed with java.lang.UnsatisfiedLinkError: <Pfad>\sapjco3.dll: Can't find dependent libraries'' | ||
| + | <br> | ||
| + | Weitere Infos zum SAP JCO unter: https://support.sap.com/en/product/connectors/jco.html | ||
| + | |||
| + | == Nicht betroffene Heidler Dienste == | ||
| + | Hier finden Sie eine Übersicht über unsere Software-Applikationen, welche nicht von den Sicherheitslücken betroffen sind. | ||
| + | |||
| + | '''Hinweis zu log4j 1.x''' | ||
| + | |||
| + | log4j 1.x Versionen und somit ältere Softwarestände als die in Spalte "Betroffen ab Version" angegebenen, von den genannten Sicherheitslücken nicht betroffen. Die log4j 1.x Versionen sind ausschließlich EoL. Die Sicherheitslücke existiert nur bei spezieller Nutzung dieser log4j Versionen. Diese Option wird in den HEIDLER Softwarekomponenten jedoch nicht genutzt! | ||
| + | {| class="wikitable" | ||
| + | |'''Projektname''' | ||
| + | |'''Betroffen ab Version''' | ||
| + | |'''Dienstname''' | ||
| + | |'''Update Hinweise''' | ||
|- | |- | ||
| − | | | + | |AMAService |
|NEIN | |NEIN | ||
| | | | ||
| | | | ||
| + | |- | ||
| + | |DC3 | ||
| + | |NEIN | ||
| | | | ||
| | | | ||
|- | |- | ||
| − | | | + | |FC2 |
| − | | | + | |NEIN |
| − | | | + | | |
| | | | ||
| − | |||
| − | |||
|- | |- | ||
| − | | | + | |FileConverter |
| − | | | + | |NEIN |
| − | |||
| | | | ||
| − | |||
| | | | ||
|- | |- | ||
| − | | | + | |FileLabelPrinter |
|NEIN | |NEIN | ||
| | | | ||
| | | | ||
| + | |- | ||
| + | |FileMoveService | ||
| + | |NEIN | ||
| | | | ||
| | | | ||
|- | |- | ||
| − | | | + | |HVS32 |
| − | | | + | |NEIN |
| − | | | + | | |
| | | | ||
| − | |||
| − | |||
|- | |- | ||
| − | | | + | |HVS32FileImporter |
|NEIN | |NEIN | ||
| − | |||
| | | | ||
| | | | ||
|- | |- | ||
| − | | | + | |HVS32SEMExport |
| − | | | + | |NEIN |
| − | |||
| | | | ||
| − | |||
| | | | ||
| − | |||
| − | |||
| − | |||
|- | |- | ||
| − | | | + | |HVS32TriggerService |
| − | | | + | |NEIN |
| − | |||
| | | | ||
| − | |||
| | | | ||
|- | |- | ||
| − | | | + | |PVS |
|NEIN | |NEIN | ||
| | | | ||
| | | | ||
| + | |- | ||
| + | |TCPScannerServer | ||
| + | |NEIN | ||
| | | | ||
| | | | ||
|} | |} | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Aktuelle Version vom 17. Januar 2022, 10:10 Uhr
Einführung
Hiermit nehmen wir Bezug auf die veröffentlichte Sicherheitslücken in der log4j Bibliothek, welche von vielen Softwareanbietern zum Handling von Protokollierungs-/Logdateien verwendet wird und so auch in Verwendung der von uns bereitgestellten Applikationen ist.
Die von HEIDLER betroffenen Applikationen, welche demnach log4j in den kritischen Versionen 2.0 - 2.17.0 verwenden, finden Sie unten aufgelistet! Das HVS32 an sich ist nicht davon betroffen, allerdings einige Teil-Komponenten/Dienste.
Da die Applikationen der HEIDLER Strichcode GmbH, welche die betroffene Bibliothek log4j nutzen, in Ihrem gesicherten Intranet auf einem i.d.R. von außen unzugänglichen Server installiert sind und ausschließlich mit Ihrem Vorsystem, anderen Applikationen der HEIDLER Strichcode GmbH in Ihrem Intranet und Clientside mit den Webservern der Frachtdienstleister kommunizieren, ist ein Ausnutzen der log4j Sicherheitslücken in Abhängigkeit Ihrer Infrastruktur und grundlegenden IT-Sicherheitsmaßnahmen eher unwahrscheinlich, wobei wir dennoch dringend eine Aktualisierung der betroffenen Softwarekomponenten empfehlen!
Bitte teilen Sie unserem Support eine Liste aller HEIDLER Software-Komponenten mit, welche auf Ihrem HVS32 Server installiert sind. Hierzu können Sie z.B. mittels der Windows-Suche nach "log4j*.jar" suchen und uns die Liste der Dateipfade zukommen lassen, oder via “Programme und Features” die installierten Dienste samt Versionsinfos auslesen.
Ein Mitarbeiter des HEIDLER Software-Support wird Ihnen dann alle entsprechenden neuen Setups für die Aktualisierung zur Verfügung stellen und Sie bei Bedarf bei der Installation unterstützen. Grundlegend können Sie die Updates selbstständig durchführen, je nach Komponente kann eine Downtime des Gesamtsystems/Versandprozesses erforderlich sein.
Um ein Update durchzuführen, starten Sie das heruntergeladene Setup und folgen Sie den Installations-Anweisungen. Im Anschluss muss überprüft werden, ob der jeweilige Windows-Dienst (Nicht bei jeder Applikation vorhanden) gestartet ist. Zusätzliche Informationen diesbezüglich finden Sie in der Spalte Update Hinweise!
Bitte beachten Sie weiterhin, dass diese Sicherheitslücke auch andere Teile Ihrer Infrastruktur (unabhängig Heidler Komponenten) betreffen kann/wird, da es sich bei log4j um eine sehr verbreitete Bibliothek handelt, welche demnach in sehr vielen Applikationen verwendet wird (Cisco, VMWare, Oracle, ...)!
Sicherheitsbedrohungen
Die log4j Versionen 2.0 bis 2.17.0 sind von mehreren Sicherheitslücken betroffen die aktuell von den Sicherheitsbehörden von mittel bis kritisch eingestuft sind.
CVE-2021-44228 (CVSS-Score 10.0/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-44228
CVE-2021-45046 (CVSS-Score 9.0/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-45046
CVE-2021-45105 (CVSS-Score 7.5/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-45105
CVE-2021-44832 (CVSS-Score 6.6/10.0) - Quelle: https://nvd.nist.gov/vuln/detail/CVE-2021-44832
Handlungsbedarf
Es besteht dringender Handlungsbedarf! Die von Ihnen eingesetzten betroffenen Applikationen sollten schnellstmöglich auf eine Version aktualisiert werden, welche log4j 2.17.1 verwendet!
Versionsnummern der Heidler Dienste welche bereits log4j 2.17.1 verwenden, lesen Sie in Spalte 4 der Tabelle aus.
Stand 30.12.2021
Versionsnummer der Heidler Dienste auslesen
| Um herauszufinden, welche Version die bei Ihnen installierten Heidler Software-Komponenten haben, klicken Sie mit der rechten Maustaste auf die jeweilige EXE Datei -> Eigenschaften -> Details -> Dateiversion. | 
|
Übersicht der betroffenen Applikationen samt Versionshinweise
Alle in nachfolgender Tabelle aufgelisteten Heidler Dienste sind von der Sicherheitslücke betroffen.
Wichtig: Heidler Dienste, deren Versionen älter/geringer sind, wie die in der Tabelle aufgelisteten, sind nicht betroffen!
Es wurde aufgelistet, ab welcher Version eine Software-Applikationen von den aktuellen log4j / log4shell Sicherheitslücken (CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832) betroffen ist. Ältere Versionen sind nicht betroffen, da hier andere Komponenten zur Protokollierung verwendet werden, welche von den o.g. log4j Sicherheitslücken nicht betroffen sind.
Sollten Sie nicht wissen, welche Komponenten bei Ihnen installiert sind, suchen Sie in Ihrer Windows-Dienstverwaltung (services.msc) entsprechend nach den gelisteten Dienstnamen.
Haben Sie andere Heidler Dienste im Einsatz, welche Sie nicht in der Tabelle finden, sind diese auch explizit nicht betroffen - die nicht betroffenen Applikationen finden Sie am Ende des Artikels separat aufgelistet. Sollten Sie sich dennoch unsicher sein, senden Sie den Dienstnamen samt Versionsinfo zur Prüfung an unseren Support.
Spaltenübersicht
- Projektname: Name der Applikation
- Betroffen ab: Version, ab welcher die Applikation von einer der oben genannten Sicherheitslücke betroffen ist.
- log4j 2.x Version ab: Version, ab welcher die genannte log4j Version verwendet wird
- Dienstname: Name vom Dienst der Applikation. Kann bei mehrfach Installationen abweichen.
- Updatehinweise: Punkte die beim Update unbedingt beachtet werden müssen!
Sollte in den Update-Hinweisen ein Update auf Firebird 2.5.x erforderlich sein, finden Sie weitere Informationen diesbezüglich unter Upgrade Firebird Datenbank-Engine
| Projektname | Betroffen ab Version | log4j 2.17.1 ab Version | Dienstname | Update Hinweise |
| AddressCheck | 1.0.0.2 | 1.0.0.4 | Heidler-AddressCheck | |
| CaptureTool | 1.0.1.20 | 1.1.1.38 | - | |
| CarrierAPI | 2.5.0.334 | 2.8.2.510 | HeidlerCarrierAPI |
|
| ComManager | 1.0.0.0 | 1.2.0.114 | Heidler-ComManager |
|
| CUBE³ | 0.0.0.1 | 0.1.5.x | Heidler-CUBE3_* |
|
| CubeUI | 2.0.1.65 | - | - |
|
| DataGatewayServer | 3.7.0.613 | 3.8.1.669 | DataGatewayServer |
|
| GLSBoxService | 1.0.1.10 | 1.2.0.16 | GLSBoxService |
|
| HFMS | 1.2.6.54 | 1.7.2.259 | Heidler-TarifWerk |
|
| HVS32DBService / DB Archivierung | 4.2.0.388 | 4.5.1.8 | HVS32DBService | |
| HVS32Monitoring | 1.2.1.77 | 1.4.2.108 | HVS32MonitoringService |
|
| HVS32MonitoringLight | 1.3.1.13 | 1.5.2.31 | HVS32MonitoringServiceLight |
|
| Leitcode | 3.0.0.10 | 3.2.1.36 | Heidler-Leitcode |
|
| MobileTape-Gateway | 1.0.1.423 | 1.2.0.7 | Heidler-MobileTape_Gateway |
|
| ScaleService V2 | 2.0.1.37 | 2.2.1.55 | Heidler-ScaleService |
|
| SEMWeb | 1.0.0.0 | 1.3.0.152 | Heidler-SEMWeb | |
| Statusdatenamanger | 1.0.0.0 | 1.4.3.152 | Heidler-StatusdatenManager | |
| Verladefreigabe | 2.0.1.11 | 2.2.0.38 | Heidler-VerladefreigabeService |
|
| WatchLog | 1.0.1.9 | 1.2.0.26 | Heidler-WatchLog |
Handlungsbedarf trotz bereits getätigter Updates (bis 30.12.2021): Dienstversionen zwingend nochmals prüfen
Haben Sie bereits Updates der Heidler Dienste durchgeführt, sollten Sie zwingend prüfen, ob die installierten Versionen bereits in der obigen Tabelle in Spalte 4 gelistet sind und somit bereits log4j v2.17.1 verwenden.
Da kurz nacheinander (10.12., 13.12., 15.12., 28.12) vier unterschiedliche Sicherheitslücken in log4j entdeckt und gepatcht wurden, konnten auch wir nur die jeweilig verfügbaren aktuellsten log4j Versionen (2.15, 2.16, 2.17.0, final 2.17.1) in unsere Installer integrieren.
Das heißt: haben Sie von uns zugesendete Setups vor dem 30.12.2021 heruntergeladen und installiert, werden Sie höchstwahrscheinlich Versionen erhalten und eingespielt haben, welcher weiterhin Sicherheitslücken aufweisen. In diesem Fall ist es daher zwingend erforderlich Ihre Heidler Dienste mindestens auf eine Version zu aktualisieren welche in Spalte 3 gelistet ist.
Ist Ihre Version geringer/älter, müssen Sie erneut Updates durchführen um alle Sicherheitslücken zu schließen.
Haben Sie demnach schon Downloadlinks erhalten, sind hinter den identischen Downloadlinks IMMER die aktuellsten Versionen unserer Dienste hinterlegt. Somit können mit den gleichen Links die immer neuesten Versionen heruntergeladen werden und dadurch auch ein einfacher Vergleich zu Ihrem vorherig heruntergeladenen Version gemacht werden.
Update Vorgehensweise
| Bitte beachten Sie unbedingt die Applikationsbezogenen Update Hinweise in entsprechender Spalte der obigen Tabelle.
Sollten Sie über ein HVS32 Testsystem/Testserver verfügen, spielen Sie die Updates zuerst auf dem Testsystem ein! Automatische Erkennung des Dienstpfades Grundlegend sind die Update-Setups einfach ausführbar, die vorherige Dienst-Version wird automatisch erkannt und kann durch Bestätigung entsprechend aktualisiert werden. Die Setups sollten immer per Rechtsklick -> Als Administrator ausführt werden, damit ausreichend Berechtigungen vorhanden sind und jede Komponente vollständig aktualisiert werden kann. Nach erfolgtem Update sollte geprüft werden, ob der entsprechende Windows-Dienst auch wieder gestartet ist. Sollten Sie von einer Heidler Applikation mehrere Instanzen parallel auf einem Server betreiben (Beispiel: HVS32 Monitoring, DataGatewayServer,...) ist bei der Update-Installation jeweils manuell der Pfad zur Aktualisierenden Instanz anzugeben (z.B. C:\Heidler\HVS32Monitoring_Auto01), und das Setup anschließend pro Instanz auszuführen, unter Angabe des jeweiligen Installationspfades. Manuelle Pfadangabe bei mehreren Instanzen |
Inkompatibilität bei veralteten Systemen (Firebird 1.5)
Gemäß der Spalte "Update Hinweise" o.g. Tabelle sind einige Dienste in Ihrer neuesten Version nicht mehr kompatibel mit Systemen, welche noch die Datenbankengine Firebird in Version 1.5 einsetzen.
Sollten Sie also einen Dienst im Einsatz haben, welcher entsprechend notierte Abhängigkeit mit Firebird hat, dürfen Sie das Dienstupdate nicht durchführen, da dadurch keine Funktionalität mehr gegeben ist!
Setzen Sie noch Firebird 1.5 ein und sind von o.g. Dienst-Updates betroffen, muss Ihr System zuvor auf Firebird 2.5 migriert werden. Weitere Informationen sehen Sie in folgendem Artikel: Upgrade Firebird Datenbank-Engine
Aktualisierung vom SAP Java Connector (SAP JCO) 3.0 auf 3.1
Bei der Verwendung vom SAP JCO und Aktualisierung dieser Komponente ist darauf zu achten, dass alle Komponenten, welcher der SAP JCO verwendet ebenfalls aktualisiert werden müssen. So nutzt und setzt der SAP JCO 3.0 Treiber die Microsoft Visual Studio C/C++ 2005 Version voraus, welche mit der SAP GUI installiert wird. Bei der aktuellsten SAP JCO 3.1 Version wird jedoch die Visual C++ 2013 Version benötigt.
Sollte die Version nicht vorhanden sein, so erhält man vom SAP JCO folgende Fehlermeldung:
java.lang.ExceptionInInitializerError: JCo initialization failed with java.lang.UnsatisfiedLinkError: <Pfad>\sapjco3.dll: Can't find dependent libraries
Weitere Infos zum SAP JCO unter: https://support.sap.com/en/product/connectors/jco.html
Nicht betroffene Heidler Dienste
Hier finden Sie eine Übersicht über unsere Software-Applikationen, welche nicht von den Sicherheitslücken betroffen sind.
Hinweis zu log4j 1.x
log4j 1.x Versionen und somit ältere Softwarestände als die in Spalte "Betroffen ab Version" angegebenen, von den genannten Sicherheitslücken nicht betroffen. Die log4j 1.x Versionen sind ausschließlich EoL. Die Sicherheitslücke existiert nur bei spezieller Nutzung dieser log4j Versionen. Diese Option wird in den HEIDLER Softwarekomponenten jedoch nicht genutzt!
| Projektname | Betroffen ab Version | Dienstname | Update Hinweise |
| AMAService | NEIN | ||
| DC3 | NEIN | ||
| FC2 | NEIN | ||
| FileConverter | NEIN | ||
| FileLabelPrinter | NEIN | ||
| FileMoveService | NEIN | ||
| HVS32 | NEIN | ||
| HVS32FileImporter | NEIN | ||
| HVS32SEMExport | NEIN | ||
| HVS32TriggerService | NEIN | ||
| PVS | NEIN | ||
| TCPScannerServer | NEIN |