{"id":77049,"date":"2021-12-14T16:16:27","date_gmt":"2021-12-14T15:16:27","guid":{"rendered":"https:\/\/www.visiativ.ch\/blog\/sicherheitslucke-in-apache-log4j\/"},"modified":"2024-04-08T11:44:26","modified_gmt":"2024-04-08T09:44:26","slug":"sicherheitslucke-in-apache-log4j","status":"publish","type":"post","link":"https:\/\/www.visiativ.ch\/de\/blog\/sicherheitslucke-in-apache-log4j\/","title":{"rendered":"Sicherheitsl\u00fccke in Apache Log4j"},"content":{"rendered":"
\n
\n
\n

\"Achtung\"Staatliche Sicherheitsbehörden in vielen Ländern (Frankreich<\/a> – Grossbritannien<\/a> – Deutschland<\/a> – USA<\/a>) haben am 10. Dezember 2021 eine wichtige Sicherheitslücke in einer Bibliothek gemeldet, die sehr häufig in allen Projekten und Software, die in Java entwickelt werden, verwendet wird<\/strong>. Die Sicherheitslücke wurde in der für die Protokollierung verwendeten Apache Log4j-Bibliothek festgestellt und kann Cyberangreifern die Übernahme der Kontrolle über Informationssysteme ermöglichen.<\/p>\n

Die auch als “log4shell<\/strong>” bezeichnete Sicherheitslücke wird durch eine in den Versionen 2.x eingeführte Funktion von Log4j verursacht, die es ermöglicht, durch Interpretation einer Zeichenfolge in einer protokollierten Nachricht eine Verbindung zu einem Entfernten Standort ohne Authentifizierung herzustellen oder Code direkt auszuführen.<\/p>\n

Es handelt sich um eine Sicherheitslücke von globalem Ausmass, die von der Apache Foundation als Sicherheitslücke der Stufe 10 eingestuft wurde.<\/p>\n<\/div>\n

\n

Statusbericht Dassault Systèmes<\/h2>\n
\n
\n
\n

Update 21. Dezember 2021:<\/strong><\/em> Nach der Veröffentlichung dieser Warnung und der Untersuchung durch seine eigenen Cybersicherheitsteams hat Dassault Systèmes Abhilfemassnahmen ergriffen und seine Kunden über seine Wissensdatenbank (Knowledge Database<\/em>) informiert.<\/p>\n

Die folgende Tabelle fasst die von Dassault Systèmes gemeldeten Auswirkungen der Sicherheitslücke auf seine Software zusammen.<\/p>\n\n\n\n\n\n\n\n
Software-Lösungen<\/strong><\/th>\nDurchzuführende Aktion<\/strong><\/th>\n<\/tr>\n
3DEXPERIENCE SaaS<\/td>\nAusführung eines Updates (HF0.4), das für jeden Benutzer durchzuführen ist<\/td>\n<\/tr>\n
3DEXPERIENCE On-Premise<\/td>\nJe nach Version – Konsultieren Sie die Knowledge Base von Dassault Systèmes oder wenden Sie sich an den Visiativ-Support. (support@mycadservices.com<\/a>)<\/td>\n<\/tr>\n
SOLIDWORKS- und PDM-Software-Lösungen<\/td>\nNicht betroffen – keine Aktion erforderlich<\/td>\n<\/tr>\n
SmarTeam<\/td>\nJe nach Version – Konsultieren Sie die Knowledge Base von Dassault Systèmes oder wenden Sie sich an den Visiativ-Support. (support@mycadservices.com<\/a>)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Stand aktualisiert am 20\/12\/2021 um 16:00 Uhr<\/small><\/em><\/p>\n

Diese Tabelle wird aktualisiert, sobald die von Dassault Systèmes bereitgestellten Informationen vorliegen.<\/p>\n

Falls Sie sich auf die von Dassault Systèmes im Artikel seiner Knowledge Base<\/em> empfohlenen Massnahmen stützen, wird Ihnen dringend empfohlen, diesen Artikel regelmässig zu konsultieren<\/u>, um sicherzustellen, dass die durchzuführenden Aktionen nicht geändert oder durch zusätzliche Massnahmen angereichert wurden.<\/strong><\/p>\n

Von VISIATIV entwickelte Tools, die mit Dassault Systèmes-Software verbunden sind (myCADservices, my3Dplayer, myCADplace, myProduct, myCADtools, myApps), sind von dieser Sicherheitslücke nicht betroffen. Dasselbe gilt für die spezifischen Entwicklungen, die VISIATIV in Projekten durchführt.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n

Update 16. Dezember 2021:<\/strong> <\/em>Die SWPDM-Entwicklungsgruppe konnte bestätigen, dass die folgenden SOLIDWORKS-Produkte nicht von der log4j-Schwachstelle betroffen sind:<\/p>\n