Statement: Sicherheitslücke in Java-Bibliothek log4j – Kassensysteme

ADDIPOS Produkte sind nicht von der Java-Bibliothek log4j Sicherheitslücke betroffen

Die Java-Bibliothek kommt bei ADDIPOS Produkten nicht zum Einsatz. Unsere Empfehlung:

Anlass: Sicherheitslücke in Java-Bibliothek log4j

Die IT-Fachmedien berichtete über das Ausrufen der Warnstufe „ROT“ durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI informierte die Öffentlichkeit über eine entdeckte Sicherheitslücke in der Java-Bibliothek log4j. Diese Lücke ermöglicht es Angreifern, unter gewissen Voraussetzungen Schadprogramme auf betroffenen Servern laufen zu lassen oder Daten abzugreifen.

„Log4j ist eine weitverbreitete Bibliothek für Java-Anwendungen. Eine Bibliothek ist Software, die zur Umsetzung einer bestimmten Funktionalität in weitere Produkte eingebunden wird. Sie ist daher oftmals tief in der Architektur von Software-Produkten verankert. Die Bibliothek Log4j stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Da Log4j diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme eingebaut.“ – Quelle: BSI, 13.01.22

Zum 12.01.2022 hat das BSI die Warnstufe von Rot auf Gelb herabgesetzt.

Statement ADDIPOS

Die Produkte von ADDIPOS sind von dieser Lücke nicht betroffen. Die Java-Bibliothek kommt bei ADDIPOS Produkten nicht zum Einsatz.

Empfehlung: Wenn Sie auf Ihrem Server eine Java-Software nutzen, empfehlen wir Ihnen, ein Update von allen Java-Softwares durchzuführen und die Software auch zukünftig regelmäßig zu aktualisieren. Das BSI empfiehlt:

Führen Sie das Update auf die aktuelle Version >= 2.17 von „Log4j“ schnellstmöglich in allen Anwendungen durch!
Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen!
Schalten Sie nicht zwingend benötigte Systeme ab.
Prüfen Sie, mit welchen Rechten die betroffenen Dienste versehen sind und reduzieren Sie diese auf das notwendige Minimum.
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind.
Weitere Maßnahmen für Administratoren

Quelle: BSI, 13.01.22

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung oder Sie informieren sich beim BSI unter https://www.bsi.bund.de.