GELÖST - Log4j?

Antworten
DimMyPrp
Beiträge: 2
Registriert: Di Dez 14, 2021 12:13 pm

GELÖST - Log4j?

Beitrag von DimMyPrp »

Im Installationsverzeichnis der Timas Zeiterfassung bin ich auf ein Java Archiv (C:\Timas\log4j-1.2.17.jar) gestoßen, dass zumindest darauf hindeutet, dass Timas das Log4j Framework nutzt und von der aktuellen Sicherheitslücke betroffen sein könnte?

Gibt es hier seitens meg schon ein Statement oder gar Entwarnung?
Dateianhänge
log4j.png
log4j.png (4.2 KiB) 25865 mal betrachtet
Administrator
Site Admin
Beiträge: 54
Registriert: Mi Feb 22, 2017 8:13 pm

Re: Log4j?

Beitrag von Administrator »

Gemäß der aktuellen Veröffentlichung vom 12.12.2021 des BSI ist die von TiMaS verwendete „log4j“ – Version 1.2.17 nicht betroffen.

Der Hersteller P&S Prozeßsteuerung und Systementwicklung GmbH & Co. KG verfolgt die aktuelle Situation mit höchster Aufmerksamkeit.

Wir verweisen auf die beschriebenen Schutzmaßnahmen des BSI.
apn
Beiträge: 6
Registriert: Mo Feb 22, 2021 8:13 am

Re: Log4j?

Beitrag von apn »

log4j in der version 1.2.17 hat mehrere andere sicherheitslücken, die nicht minder gefährlich sind
(zb https://nvd.nist.gov/vuln/detail/CVE-2019-17571 ).
es hat 2015 seinen EOL (ablaufdatum) erreicht, und wurde durch logback bzw log4j2 ersetzt.
die migration auf die aktuelle version sollte nicht schwer sein ( https://logging.apache.org/log4j/2.x/manual/migration.html ).
ich hoffe hier wird gehandelt, nicht nur beobachtet.

einen temporären workaround gibt es auch schon:
https://github.com/apache/logging-log4j2/pull/608#issuecomment-993182759 - man kann hier mitlesen, wie alles seinen anfang nahm.

aber solange man timas nur lokal benutzt, und es nicht aus dem netz erreichbar ist, sehe ich kein problem.
Administrator
Site Admin
Beiträge: 54
Registriert: Mi Feb 22, 2017 8:13 pm

Re: Log4j?

Beitrag von Administrator »

TiMaS Produkte sind von der Log4Shell-Schwachstelle nicht betroffen.

Das BSI teilt mit Stand vom 15.12.2021 mit, dass die Bibliothek auch in den Versionen 1.x grundsätzlich verwundbar ist. In diesen Fällen ist diese Verwundbarkeit Berichten zufolge jedoch nur über eine besondere Programmkonfiguration ausnutzbar, wenn die sog. „JNDI-Funktion“ implementiert/aktiviert ist.

Diese spezielle Konfiguration wird in TiMaS NICHT benutzt.

Unabhängig davon ist ein Update der Java-Bibliotheken in TiMaS für 2022 geplant.
TheCam
Beiträge: 1
Registriert: Mi Feb 22, 2023 7:14 pm

Re: GELÖST - Log4j?

Beitrag von TheCam »

In welcher Version ist diese Schwachstelle von Timas final behoben? Ich kann die 1.2.17 noch unter der Version 1.133.0 finden.
Administrator
Site Admin
Beiträge: 54
Registriert: Mi Feb 22, 2017 8:13 pm

Re: GELÖST - Log4j?

Beitrag von Administrator »

Nochmal:

Die Verwundbarkeit ist nur über eine besondere Programmkonfiguration ausnutzbar, wenn die sog. „JNDI-Funktion“ implementiert/aktiviert ist.

Diese spezielle Konfiguration wird in TiMaS NICHT benutzt.
Antworten