Am 9. Dezember 2021 wurde eine neue Schwachstelle (CVE-2021-44228) unter dem Namen „Log4Shell“ gegen eine gängige Java-Logging-Bibliothek „Log4j“ gemeldet.
Diese Lücke macht betroffene Systeme anfällig dafür, dass externe Angreifer bösartige Programme auf diesen Systemen ausführen können. Ein entsprechender Angriff wird kategorisiert als RCE- oder Remote-Code-Execution-Angriff.
Wir haben unsere Softwareplattform einer vollständigen Prüfung der direkten und transitiven Abhängigkeiten unterzogen.
Die Bibliothek ‚Log4J‘ wird nicht in FlowChief und in den von FlowChief verwendeten Funktionen Dritter verwendet. FlowChief ist damit nicht anfällig für die in CVE-2021-44228 beschriebene Thematik.
Dies umfasst alle jemals veröffentlichten FlowChief Versionen von 2.0 bis 7.1 und gilt selbstredend auch für alle e-Gem und web.HMI Versionen sowie unsere SaaS-Angebote (Teleservice) und PaaS-Angebote (Hosting).
Weiterhin sind Komponenten unseres Lieferanten Lucom (Router, Digicluster) nicht betroffen.
Nähere Infos zur Thematik:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf
https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen
https://www.heise.de/ratgeber/Schutz-vor-Log4j-Luecke-was-hilft-jetzt-und-was-eher-nicht
Wenden Sie sich bei Fragen gerne per E-Mail an support@flowchief.de oder per Telefonanruf an die FlowChief Hotline +49 9129 14722-90.