Kritische Sicherheitslücke in Java Log4J

Zum 11. Dezember 2021 wurde in den öffentlichen Medien dringlichst vor einer IT Sicherheitslücke durch "JAVA Anwendungen Log4J" gewarnt.

Sind Sie als KSR-Anwender von der aktuellen Sicherheitslücke betroffen ?

Zurecht kommen hier verunsicherte Anwender auf uns zu und hinterfragen die von KSR eingesetzte Technik, um abschätzen zu können in wie weit Sie von der Schwachstelle betroffen sind.

Um Ihnen die Sorgen zu nehmen möchten wir Ihnen hier eine zentrale Information bieten um aufzuklären und die laufende Entwicklung zentral zu kommunizieren. Bitte schauen Sie regelmäßig vorbei, der Artikel wird fortlaufend aktualisiert.

Zunächst einmal die gute Nachricht, die von uns erstellten Produkte und Lösungen basieren nicht auf JAVA weshalb unsere Produkte nicht betroffen sind.

Es gibt jedoch zwei wichtige Hinweise 

1. Sofern Sie unsere Kassenlösung EKS in Verbindung mit der Zertifizierung der deutschen Fiskal (Fiskal Cloud Connector - FCC) einsetzen.

Wir sind von der Deutschen Fiskal informiert worden, dass der Fiskal Cloud Connector (FCC) von der möglichen Schwachstelle betroffen ist. Wenn Sie also EKS mit einer aktiven TSE-Einheit einsetzen, die über den FCC angebunden ist, dann wird ein Update dessen notwendig!
Wir stellen Ihnen an dieser Stelle das Update der FCC Version 3.2.4 bereit, (Link)in dieser ist die Schwachstelle behoben.

https://help.ksredv.de/de_DE/produkte-eks/fiskal-cloud-connector-update

2. Haben Sie JAVA evtl. wegen anderen oder alten Anforderungen installiert ?

Da wir jedoch den Einsatz einer JAVA-Umgebung für eingesetzte Anwendungen Dritter nicht gänzlich ausschließen können, empfehlen wir Ihnen:

  • Deinstallieren Sie mögliche JAVA-Komponenten in Ihrer Windows Programmumgebung. Diese werden oftmals nicht mehr benötigt und sind übrig geblieben Fragmente früher eingesetzter Produkte. Spätestens wenn Funktionen nach der Deinstallation nicht mehr gegeben sind können Sie die Notwendigkeit nochmals überdenken.
  • Halten Sie ihre eingesetzte Software auf dem aktuellen Stand
  • Aktiveren Sie mögliche Sicherheitssoftware wie die Windows-Firewall und den Windows-Defender
  • Sprechen Sie Ihren EDV Betreuer auf mögliche Gefahren an

 

 

Hintergrundinformationen

JAVA ist eine häufig genutzte Entwicklungsumgebung. Um Fehler während der Laufzeit einer Anwendung nachvollziehen zu können wird eine Protokollierung (Logging) genutzt. Die aktuelle Schadsoftware nutzt eine Sicherheitslücke dieser Logging-Methode in "Log4J" aus. Der Service schreibt leider nicht nur mit sondern er interpretiert auch das protokolliert und führt bestimmte Funktionen aus. Damit ist es z.b. möglich einen Webseiten Aufruf durchzuführen und von dort dann die eigentliche Schadsoftware nachzuladen. Die "Lücke" selbst ist also insofern ungefährlich, brisant ist das eigentliche nachladen von Schadsoftware. Mit aktueller Schutzsoftware kann dieses Szenario jedoch vermieden werden.
Ebenso ist es erforderlich, dass ein entsprechender bösartiger Protokolleintrag überhaupt erst geloggt wird. Hiervon wiederum sind vor allem Web-Server betroffen wo der Endanwender beliebige Eingaben tätigen kann, fest vordefinierte Protokolleinträge und das fehlen einer freien Eingabe minimieren das Problem.

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

 

Bundesamt für Sicherheit in der Informationstechnik

 

Delete

Stellungnahme Deutsche Fiskal GmbH

 


 

 

Delete

 



 

 

 

 

 

 

 

 

 

 

 

 

 

 

Artikel ID: 1177881

Verwandte Artikel

2007-01-31 Automatischer Kassenabschluss / Batchbetrieb

Der automatische Kassenabschluss wurde ab Version 1.50.0 deaktiviert und steht ni...

Update des Fiskal Cloud Connector via Update-Link

Dieser Artikel ist nur für das Update einer bestehenden FCC Version 4.x.x. !   So...