Navigation überspringen

Sicherheitsstatus in der paedML bezüglich der Sicherheitslücke in der Java-Bibliothek Log4j

 

Liebe Kundinnen und Kunden,

seit Freitag 10.12.2021 ist eine kritische java-Sicherheitslücke  -- log4j-Lücke  -- bekannt, die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer "extrem kritischen Bedrohungslage" führt.

Stand heute sind die aktuellen Versionen der paedML Linux 7.x und der paedML Windows 3.x und 4.x in der Standard-Installation nicht von dieser Sicherheitslücke betroffen. Empfehlungen für die paedML Novell finden sich weiter unten auf dieser Seite. Lesen Sie bitte auch die detaillierten Informationen zu jeder paedML.

Sofern Sie keine eigene Software in den Systemen der paedML  installiert haben, gehen wir davon aus, dass beim Betrieb Ihrer paedML nur in der paedML Novell Handlungsbedarf besteht.

Da die Sicherheitslücke auch auf dem VMware VCenter auftreten kann (nicht ESXi), bitten wir Sie darum, mit Ihrem Dienstleister Kontakt aufzunehmen. Klären Sie mit ihm, ob weitere Maßnahmen notwendig sind.

Generell möchten wir Sie darauf hinweisen, dass neue paedML-Versionen und alle Aktualisierungen immer zeitnah eingespielt werden sollten, damit Sicherheitslücken geschlossen werden und Sie neue Funktionen Ihrer paedML nutzen können.  

Wir befinden uns in einem ständigen Austausch mit den Herstellern der paedML-Komponenten. Wenn sich weiterer Handlungsbedarf ergeben sollte, werden wir Sie zeitnah informieren.

Bleiben Sie gesund und kommen Sie gut ins neue Jahr.

Ihr Team der paedML

Ein Computerbildschirm mit Programmcode, der vor einem erkannten Malware-Skriptprogramm warnt. 3d Illustration

solarseven via GettyImages

paedML Novell

Für die aktuell bekannten Probleme (s.u.) hat Microfocus Workarounds veröffentlicht. Es sind nur wenige Handgriffe erforderlich, um die paedML Novell zu „härten“. Wir empfehlen dringend, diese umzusetzen, so wie im Dokument log4j-Sicherheitsmassnahmen-i.d.paedML-Novell.pdf beschrieben.

Wir werden Sie hier auf dieser Seite über zeitnah zu erwartende Updates informieren, sobald diese verfügbar und getestet sind. Es wäre auch empfehlenswert, wenn Sie Ihren Dienstleister zu Rate ziehen.

  • Allgemeine Informationen zu log4j von Microfocus:

https://www.microfocus.com/en-us/about/product-security-response-center/log4j

  • SLES: nicht betroffen

https://www.suse.com/security/cve/CVE-2021-44228.html

  • OES: nicht betroffen

https://portal.microfocus.com/s/article/KM000003039?language=en_US

  • GroupWise (GW-Admin): betroffen

https://portal.microfocus.com/s/article/KM000003013?language=en_US
    
Hinweis: Die GroupWise-Admin-Konsole sollte für den direkten Web-Zugriff von „überall“ (Internet) generell nicht verfügbar gemacht werden. Solte der Zugriff auf den GW-Admin von außerhalb des Schulnetzes in der Sophos SG UTM konfiguriert sein, deaktivieren Sie besser diesen Zugriff.

Massnahme: Durchführung des Workarounds, wie in unserem Dokument dafür beschrieben.

  • GroupWise (Calendar-Server): betroffen

Hinweis: Der Calendar-Server (calsrv) ist in der paedML installiert, aber nicht konfiguriert und nicht aktiviert.

Massnahme: Sollten Sie diesen Dienst konfiguriert und aktiviert haben, weil Sie ihn benötigen, behelfen Sie sich mit dem dafür dokumentierten Workaround.

  • GW-Messenger: betroffen

https://portal.microfocus.com/s/article/KM000003014?language=en_US

Massnahmen: Messenger herunterfahren (GW-Admin-Console > Messenger > MessengerService > Servers > Server anklicken > Häkchen bei Enable Messenger service entfernen > Save ) oder Workaround durchführen.

  • GMS: nicht betroffen

https://portal.microfocus.com/s/article/KM000003063?language=en_US

  • ZCM (2020, U1): betroffen

https://portal.microfocus.com/s/article/KM000003058?language=en_US

Hinweis: ZCM2017 ist nicht betroffen.

Massnahme: Wer ZCM-2020 für die Verwaltung mobiler Geräte verwendet, sollte den Workaround unbedingt durchführen, ansonsten bleibt er eine Empfehlung.

  • Vibe: nicht betroffen

https://portal.microfocus.com/s/article/KM000003011?language=en_US

  • Filr: nicht betroffen

https://portal.microfocus.com/s/article/KM000003003?language=en_US

  • Sophos SG UTM: nicht betroffen

https://www.sophos.com/de-de/security-advisories/sophos-sa-20211210-log4j-rce

paedML Linux und paedML für Grundschulen

  • UCS: nicht betroffen    

https://help.univention.com/t/status-of-log4j-log4shell-vulnerability-cve-2021-44228-in-ucs-and-apps/19020

  • UCS@school: nicht betroffen

https://help.univention.com/t/status-of-log4j-log4shell-vulnerability-cve-2021-44228-in-ucs-and-apps/19020

  • opsi: nicht betroffen

https://forum.opsi.org/viewtopic.php?t=12749
(opsi hat als Java Komponenten den opsi-configed und den opsi-logviewer, beide Komponenten nutzen das log4j-Modul nicht)

  • Nextcloud: nicht betroffen

https://help.nextcloud.com/t/apache-and-log4j-should-nextcloud-servers-be-concerned/129022

  • OnlyOffice: nicht betroffen

https://forum.onlyoffice.com/t/does-onlyoffice-documentserver-uses-log4j/841/5

paedML Windows

  • DC01 und SP01: nicht betroffen

Auf beiden Servern der paedML Windows wurden keine JAVA-basierten Anwendungen, die Log4j verwenden, integriert.

  • opsi: nicht betroffen

https://forum.opsi.org/viewtopic.php?t=12749
(opsi hat als Java Komponenten den opsi-configed und den opsi-logviewer, beide Komponenten nutzen das log4j-Modul nicht)

  • UCS und Nextcloud: nicht betroffen    

https://help.univention.com/t/status-of-log4j-log4shell-vulnerability-cve-2021-44228-in-ucs-and-apps/19020

https://help.nextcloud.com/t/apache-and-log4j-should-nextcloud-servers-be-concerned/129022

  • Sophos SG UTM: nicht betroffen

https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

  • OctoGate: nicht betroffen

Die Firma OctoGate Security GmbH hat bestätigt, dass auf der OctoGate Firewall weder JAVA noch Log4j installiert ist.

 

Stand: 16.12.2021

Diese Seite teilen: