log4j Sicherheitslücke: Das müssen Sie wissen
Alle wichtigen Infos zu unseren Systemen im Überblick
Vor kurzem wurde eine Sicherheitslücke in log4j bekannt. Wir haben daraufhin unsere Systeme einer tiefgreifenden Analyse unterzogen. Welche Auswirkungen hat die Schwachstelle auf Ihr System und was sollten Sie tun?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aufgrund einer kritischen Schwachstelle in log4j (CVE-2021-44228) die Warnstufe der IT-Bedrohungslage auf 4/rot erhöht und dazu entsprechende Informationen bereitgestellt. Wir bei Step Ahead haben in den vergangenen Tagen unsere Systeme umfassend überprüft und können Ihnen nun einen entsprechenden Überblick bieten.
godesysERP (Version 5.x), STEPS, mySTEPS und STEPS.Cloud
Unsere Produkte godesysERP (Version 5.x), STEPS, mySTEPS und die STEPS.Cloud sind nicht von der Schwachstelle betroffen.
godesysERP/OEP (Version 6.x)
Bei godesysERP/OEP (Version 6.x) wird in der Unterkomponente Liferay die problematische log4j Library verwendet. Ob es Angreifern möglich ist, mit einem kompromittierten String die Schwachstelle wirklich aktiv auszunutzen, ist aktuell nicht sicher bzw. nicht bekannt. Zur gezielten Absicherung Ihrer Umgebung in Bezug auf die Liferay 7.2.0 innerhalb von godesysERP/OEP finden Sie hier eine exakte Anleitung. Wir empfehlen Ihnen, zusätzlich zu den vom BSI empfohlenen Maßnahmen die in der Anleitung beschriebenen Schritte zeitnah durchführen.
IN:ERP
Bei IN:ERP ist die zentrale Hilfe-Funktion betroffen. Die dafür verwendete Komponente Confluence von Atlassian nutzt ebenfalls die gefährdete log4j Library. Zur sofortigen Absicherung des Systems wurde der entsprechende Server vom System genommen und isoliert. Das System wird gerade nach Anleitung des Herstellers gehärtet und dann wieder zur Verfügung gestellt. Die Kundeninstallationen von IN:ERP sind davon nicht betroffen und durch diese Schwachstelle nicht gefährdet.
Wir unternehmen selbstverständlich alles, damit unsere Systeme und damit auch die unserer Kunden weiterhin sicher bleiben
Sie haben noch Fragen rund um die Schwachstelle in log4j? Unser Support-Team hilft Ihnen gerne weiter.