Kritische Sicherheitslücke in log4j Bibliothek - Was jetzt in der WinLine Umgebung zu tun ist

Am 12. Dezember 2021 wurde die kritische Sicherheitslücke in Apache Log4j Bibliothek gemeldet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am vergangenen Wochenende die Warnstufe ROT ausgerufen - bitte nehmen Sie dies ernst und informieren Sie umgehend Ihren Systembetreuer.

Beschreibung vom Bundesamt für Sicherheit in der Informationstechnik:
Eine kritische Schwachstelle in einer weit verbreiteten Java-Bibliothek (Log4j) führt zu einer unmittelbaren Erhöhung der IT-Bedrohungslage. Die Schwachstelle ist nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) trivial ausnutzbar, ein Proof-of-Concept ist zudem öffentlich verfügbar. Darüber hinaus hat das BSI bereits breit angelegte Scans nach verwundbaren Anwendungen beobachtet. Die Ausnutzung der genannten Schwachstelle kann zu einer vollständigen Kompromittierung der Zielsysteme führen
 
Weiterführende Informationen finden Sie z.B. unter:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Schwachstelle_Log4j_211210.html

 

Auswirkung auf die WinLine und ihre Komponenten:
In der WinLine Umgebung ist die Datei log4j.jar im Verzeichnis ..\DatML bzw. ..\DatML\lib vorhanden. Diese Datei wird weder in der WinLine noch im WinLine Server und auch nicht in der WinLine mobile standardmäßig verwendet, daher besteht beim normalen Arbeiten mit der WinLine kein Risiko einer Kompromittierung des Systems.
 
Nur die "Verdiensterhebung" (Programmteil vom WinLine LOHN - Deutschland - Menüpunkt Abschluss / Verdiensterhebung Export) verwendet die Dateien aus dem DatML-Verzeichnis. Damit das Risiko auch hier ausgeschlossen werden kann, darf der Menüpunkt nicht mehr aufgerufen werden.
 
Darüber hinaus empfehlen wir dringend, das Verzeichnis DatML inkl. aller Unterverzeichnisse und die Datei Connect20160610.zip aus dem WinLine Verzeichnis zu löschen (Client und Server), womit dann auch dieses Risiko ausgeschlossen ist.
 
Mit den Patches WinLine 11.23 und WinLine Edition 2022 - Version 12.1 wird der Menüpunkt vorsorglich entfernt werden.

 

Bitte sprechen Sie Ihren Systembetreuer umgehend darauf an.

 

Viele Grüße

 

Ihr

SOFTAGE-Team

Sicherheitslücke in log4j Bibliothek