Information zur Sicherheitslücke Log4j

Wir möchten Sie über die vom BSI veröffentlichte kritische Schwachstelle (CVE-2021-44228) in der weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen Log4j (auch als Log4Shell bekannt) und deren Verwendung in den von Müller & Richter vertriebenen oder betreuten Produkten und bereitgestellten Hardware-Lösungen informieren.

Zu GeoAS Web von der AGIS GmbH
Die Software GeoAS Web ist nicht betroffen. Der GeoAS Hersteller, die AGIS GmbH, verzichtet bewusst aus Performance- und Sicherheitsgründen auf den Einsatz der Java Programmiersprache und der hierfür benötigten Java-Laufzeitumgebung (JRE).

Zu INGRADA Web von der Softplan Informatik GmbH
Die Software INGRADA Web in den Versionen 10 und 11 sind nicht betroffen, da der INGRADA Hersteller, die Softplan Informatik GmbH, kein JAVA einsetzt. (Anm.: Ältere Versionen werden seitens Müller & Richter nicht verwendet oder unterstützt.)

Zu FastViewer von der Matrix42 AG
Die Fernwartungssoftware FastViewer (Müller & Richter Support) verwendet die verwundbare Protokollierungsbibliothek nicht.

Hardware für WebHosting und Cloud-Dienste
Die bereitgestellte Hardware für unsere WebHosting- und Cloud-Dienste sind nach Überprüfung durch unseren Partner Medas Computers GmbH nicht betroffen.

Hintergrund:
Nach Angaben verschiedener Cybersicherheitsbehörden ist die Bedrohungslage weltweit äußerst kritisch, da die Protokollierungsbibliothek in Softwareprodukten sehr weit verbreitet ist. Die Sicherheitslücke wurde am Donnerstag, den 9. Dezember 2021, vom Apache Log4j-Projekt veröffentlicht und betrifft die Versionen 2.0 bis 2.14.1. Wird die Schwachstelle ausgenutzt, kann ein Angreifer möglicherweise Code auf einem Server ausführen, wenn das System einen vom Angreifer kontrollierten String-Wert auf einem betroffenen Endpunkt protokolliert.
Quellen:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

https://www.tagesschau.de/inland/bsi-schadsoftware-103.html

https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html