Sicherheitsupdate: log4j/log4shell CVE-2021-44228: Unterschied zwischen den Versionen
Mnh (Diskussion | Beiträge) |
Mnh (Diskussion | Beiträge) |
||
| Zeile 118: | Zeile 118: | ||
|4.2.0.388 | |4.2.0.388 | ||
|HVS32DBService | |HVS32DBService | ||
| − | |Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig | + | |[[Upgrade Firebird Datenbank-Engine|Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig]] |
|- | |- | ||
|HVS32FileImporter | |HVS32FileImporter | ||
| Zeile 132: | Zeile 132: | ||
*Im Dienst den hinterlegten Benutzer prüfen und nach dem Update erneut eintragen | *Im Dienst den hinterlegten Benutzer prüfen und nach dem Update erneut eintragen | ||
| − | *Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig | + | *[[Upgrade Firebird Datenbank-Engine|Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig]] |
|- | |- | ||
|HVS32MonitoringLight | |HVS32MonitoringLight | ||
| Zeile 180: | Zeile 180: | ||
|1.0.0.0 | |1.0.0.0 | ||
|Heidler-StatusdatenManager | |Heidler-StatusdatenManager | ||
| − | |Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig | + | |[[Upgrade Firebird Datenbank-Engine|Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig]] |
|- | |- | ||
|TCPScannerServer | |TCPScannerServer | ||
| Zeile 192: | Zeile 192: | ||
| | | | ||
*Nicht im laufenden Betrieb möglich | *Nicht im laufenden Betrieb möglich | ||
| − | *Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig | + | *[[Upgrade Firebird Datenbank-Engine|Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig]] |
*Kann nur in Verbindung mit der Desktop- / Molbile-APP aktuallisiert werden | *Kann nur in Verbindung mit der Desktop- / Molbile-APP aktuallisiert werden | ||
|- | |- | ||
Version vom 13. Dezember 2021, 14:09 Uhr
Einführung
Hiermit nehmen wir Bezug auf die veröffentlichte Sicherheitslücke "CVE-2021-44228" (Link zu BSI Meldung) in der Apache "log4j" Komponente, welche von vielen Softwareanbietern zum Handling von Logdateien verwendet wird, und so auch in Verwendung der von uns bereitgestellten Applikationen ist.
Die von Heidler betroffenen Applikationen finden Sie unten aufgelistet!
Da die Applikationen der HEIDLER Strichcode GmbH, welche die Bibliothek log4j nutzen, in Ihrem gesicherten Intranet auf einem i.d.R. von außen unzugänglichen Server installiert sind und ausschließlich mit Ihrem Vorsystem, anderen Applikationen der HEIDLER Strichcode GmbH in Ihrem Intranet und Clientside mit den Webservern der Frachtdienstleister kommunizieren, ist ein Missbrauch der log4j Sicherheitslücke "CVE-2021-44228" und die einhergehende Code-Injection eher unwahrscheinlich, wobei wir dennoch eine Aktualisierung der betroffenen Softwarekomponenten dringlichst empfehlen!
Unser Team arbeitet derzeit mit Hochdruck daran, ein Update für alle betroffenen Softwarekomponenten mit der neuen, von Hersteller Apache bereits gefixten log4j Version 2.15 bereitzustellen, damit es Ihnen möglich ist, zeitnah eine Aktualisierung der Heidler Dienste vorzunehmen.
Bitte teilen Sie uns eine Liste aller HEIDLER Software-Komponenten mit, welche auf Ihrem HVS32 Server installiert sind. Hierzu können Sie z.B. mittels der Windows-Suche nach "log4j*.jar" suchen und uns die Liste der Dateipfade zukommen lassen.
Ein Mitarbeiter des HEIDLER Software-Support wird Ihnen dann alle entsprechenden neuen Setups für die Aktualisierung zur Verfügung stellen und Sie bei Bedarf bei der Installation unterstützen. Grundlegend können Sie die Updates selbstständig durchführen, je nach Komponente kann eine Downtime des Gesamtsystems/Versandprozesses erforderlich sein.
Um ein Update durchzuführen, starten Sie die Setup und folgen Sie den Installations-Anweisungen. Im Anschluss muss überpüft werden ob der jeweilige Windows-Dienst (Nicht bei jeder Applikation vorhanden) gestartet ist. Zusätzliche Informationen diesbezüglich finden Sie in der Spalte Update Hinweise!
Bitte beachten Sie weiterhin, dass diese Sicherheitslücke auch andere Teile Ihrer Infrastruktur (unabhängig Heidler Komponenten) betreffen kann/wird, da es sich bei log4j um ein sehr verbreitete Komponente handelt, welche demnach in sehr vielen Applikationen verwendet wird (Cisco, VMWare, Oracle, ...)!
Versionsnummer auslesen
Um die Version der bei Ihnen installierten Software-Komponenten herauszufinden, klicken Sie mit der rechten Maustaste auf die jeweilige EXE -> Eigenschaften -> Details -> Dateiversion.
Übersicht der Applikationen
Hier finden Sie eine Übersicht über unsere Software-Applikationen. Es wurde aufgelistet ab welcher Version ein Software-Applikationen von der aktuellen log4j / log4shell Sicherheitslücke (CVE-2021-44228) betroffen ist.
Zudem ist aufgelistet unter welchem Name Sie das Programm in den Windows-Diensten zu finden ist.
Sollte in den Update-Hinweisen ein Update auf Firebird 2.5.x erforderlich sein, finden Sie weitere Informationen diesbezüglich unter Upgrade Firebird Datenbank-Engine
| Projektname | Betroffen ab Version | Dienstname | Update Hinweise |
|---|---|---|---|
| AddressCheck | 1.0.0.2 | Heidler-AddressCheck | |
| AMAService | NEIN | ||
| CaptureTool | 1.0.1.20 | - | |
| CarrierAPI | 2.5.0.334 | HeidlerCarrierAPI | Nicht im laufenden Betrieb möglich |
| ComManager | 1.0.0.0 | Heidler-ComManager |
|
| CubeUI | 2.0.1.65 | - | NEIN (abgekündigt) |
| DataGatewayServer | 3.7.0.613 | DataGatewayServer |
|
| DC3 | NEIN | ||
| FC2 | NEIN | ||
| FileConverter | NEIN | ||
| FileMoveService | NEIN | ||
| GLSBoxService | 1.0.1.10 | Heidler-GlsBoxService | Nicht im laufenden Betrieb möglich |
| HFMS | 1.2.6.54 | Heidler-TarifWerk | Nicht im laufenden Betrieb möglich |
| HVS32 | NEIN | ||
| HVS32DBService | 4.2.0.388 | HVS32DBService | Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig |
| HVS32FileImporter | NEIN | ||
| HVS32Monitoring | 1.2.1.77 | HVS32MonitoringService |
|
| HVS32MonitoringLight | 1.3.1.13 | HVS32MonitoringServiceLight |
|
| HVS32TriggerService | NEIN | ||
| Leitcode | 3.0.0.10 | Heidler-Leitcode | Nicht im laufenden Betrieb möglich |
| MobileTape-Gateway | 1.0.1.423 | Heidler-MobileTape_Gateway | Nicht im laufenden Betrieb möglich |
| PC2020 | 0.0.0.1 | Nicht im laufenden Betrieb möglich | |
| PVS | NEIN | ||
| ScaleService V2 | 2.0.1.37 | Heidler-ScaleService | Nicht im laufenden Betrieb möglich |
| SEMWeb | 1.0.0.0 | Heidler-SEMWeb | |
| Statusdatenamanger | 1.0.0.0 | Heidler-StatusdatenManager | Wenn Firebrid 1.5 -> Firebird Update auf 2.5.x notwendig |
| TCPScannerServer | NEIN | ||
| Verladefreigabe | 2.0.1.11 | Heidler-VerladefreigabeService |
|
| WatchLog | 1.0.1.9 | Heidler-WatchLog | |
| FileLabelPrinter | NEIN |