Seite 1 von 1
GELÖST - Log4j?
Verfasst: Di Dez 14, 2021 1:02 pm
von DimMyPrp
Im Installationsverzeichnis der Timas Zeiterfassung bin ich auf ein Java Archiv (C:\Timas\log4j-1.2.17.jar) gestoßen, dass zumindest darauf hindeutet, dass Timas das Log4j Framework nutzt und von der aktuellen Sicherheitslücke betroffen sein könnte?
Gibt es hier seitens meg schon ein Statement oder gar Entwarnung?
Re: Log4j?
Verfasst: Di Dez 14, 2021 1:24 pm
von Administrator
Gemäß der aktuellen Veröffentlichung vom 12.12.2021 des BSI ist die von TiMaS verwendete „log4j“ – Version 1.2.17 nicht betroffen.
Der Hersteller P&S Prozeßsteuerung und Systementwicklung GmbH & Co. KG verfolgt die aktuelle Situation mit höchster Aufmerksamkeit.
Wir verweisen auf die beschriebenen Schutzmaßnahmen des BSI.
Re: Log4j?
Verfasst: Mi Dez 15, 2021 5:09 pm
von apn
log4j in der version 1.2.17 hat mehrere andere sicherheitslücken, die nicht minder gefährlich sind
(zb https://nvd.nist.gov/vuln/detail/CVE-2019-17571 ).
es hat 2015 seinen EOL (ablaufdatum) erreicht, und wurde durch logback bzw log4j2 ersetzt.
die migration auf die aktuelle version sollte nicht schwer sein ( https://logging.apache.org/log4j/2.x/manual/migration.html ).
ich hoffe hier wird gehandelt, nicht nur beobachtet.
einen temporären workaround gibt es auch schon:
https://github.com/apache/logging-log4j2/pull/608#issuecomment-993182759 - man kann hier mitlesen, wie alles seinen anfang nahm.
aber solange man timas nur lokal benutzt, und es nicht aus dem netz erreichbar ist, sehe ich kein problem.
Re: Log4j?
Verfasst: Do Dez 16, 2021 9:10 am
von Administrator
TiMaS Produkte sind von der Log4Shell-Schwachstelle nicht betroffen.
Das BSI teilt mit Stand vom 15.12.2021 mit, dass die Bibliothek auch in den Versionen 1.x grundsätzlich verwundbar ist. In diesen Fällen ist diese Verwundbarkeit Berichten zufolge jedoch nur über eine besondere Programmkonfiguration ausnutzbar, wenn die sog. „JNDI-Funktion“ implementiert/aktiviert ist.
Diese spezielle Konfiguration wird in TiMaS NICHT benutzt.
Unabhängig davon ist ein Update der Java-Bibliotheken in TiMaS für 2022 geplant.
Re: GELÖST - Log4j?
Verfasst: Mi Feb 22, 2023 7:17 pm
von TheCam
In welcher Version ist diese Schwachstelle von Timas final behoben? Ich kann die 1.2.17 noch unter der Version 1.133.0 finden.
Re: GELÖST - Log4j?
Verfasst: Mi Feb 22, 2023 7:36 pm
von Administrator
Nochmal:
Die Verwundbarkeit ist nur über eine besondere Programmkonfiguration ausnutzbar, wenn die sog. „JNDI-Funktion“ implementiert/aktiviert ist.
Diese spezielle Konfiguration wird in TiMaS NICHT benutzt.