Tages Archiv

Da der secunet Konnektor Java Bibliotheken log4 einsetzt, haben wir dort für unsere Kunden nachgefragt und auch hier dürfen wir die gute Nachricht weiterleiten, dass der secunet Konnektor von der Schwachstelle zum Glück nicht betroffen ist. Dies gilt für alle Versionen der Konnektor Firmware.

Auch die zentralen Komponenten des VPN Zugangsdienstes von Bertelsmann/arvato und des Fachdienstes kim+ sowie des Fachdienste-Portals (SSP) sind nicht von der Schwachstelle betroffen, da die betroffenen Bibliotheken dort nicht im Einsatz sind. Jedoch sind alle bisher veröffentlichten Versionen des arvato kim+ Clientmoduls potenziell von dem aktuellen Problem betroffen.

Nach aktueller Analyse sehen wir ein Risiko vor allem dann, wenn das arvato kim+ Clientmodul über das Internet erreichbar ist. Wir empfehlen im ersten Schritt die Konfiguration zu prüfen und anzupassen, sodass das kim+ Clientmodul nur im LAN erreichbar ist. Zur finalen Behebung der Schwachstelle wird zeitnah eine aktualisierte, abgesicherte Version des kim+ Clientmoduls auf dem bekannten Downloadpunkt bereitgestellt. Es wird dringend empfohlen, diese aktualisierte Version schnellstmöglich zu installieren.

Nachtrag: hiermit informieren wir Sie, dass auf dem bekannten Downloadpunkt  ab sofort eine aktualisierte, abgesicherte Version des kim+ Clientmoduls (V 1.4.1.2) zum Download bereitgestellt wird. Diese Version enthält die Log4j-Bibliothek in der Version 2.16.0 und behebt somit die unter CVE-2021-44228 bekannt gewordenen Schwachstellen. Bitte setzen Sie für Neu-Installationen nur noch diese Version ein und aktualisieren Sie bereits installierte Versionen des kim+ Clientmoduls gemäß Anwenderhandbuch, Kap. 4.3.8 (-> steht auch im Self-Service Portal zur Verfügung). Zur Aktualisierung muss lediglich der Installer ausgeführt werden, vorhandene Konfigurationseinstellungen bleiben erhalten.

Sollten Sie Fragen haben zu diesem Artikel oder Untersützung benötigen, schreiben Sie uns gerne eine Email oder buchen einen Termin direkt in unserem Onlinekalender unter www.zahnarztsoftware.de/dol

Wir freuen uns von Ihnen zu lesen oder zu hören. Gerne unterstützen wir Sie bei allen Themen rund um Praxis-EDV, Telematikinfrastruktur und Zahnarztsoftware.

mehr zu DENS unter www.zahnarztsoftware.de

Log4j

DENSoffice und DENSonTime sind von der vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) und der gematik gefundenen Sicherheitslücke, verursacht durch Log4j/log4shell Bibliothek (Java), nicht betroffen.

Auch die Programme TeamViewer und Anydesk, welche wir für die Fernwartung benutzen, sind laut Auskunft der betreffenden Firmen unbedenklich.

FAZIT: Zum Glück ist DENS mit den beliebten Produkten DENSoffice und DENS.onTIME nicht von der aktuellen weltweiten Sicherheitslücke betroffen. DENS verwendet kein Java und hat auch die Log4J Bibliothek nicht integriert, sodass diesbezüglich also Entwarnung gegeben werden kann.

Wir wünschen unseren Kunden eine schöne Weihnachtszeit.

 

Informationen zur Schwachstelle:

Log4j ist eine Protokollierungsbibliothek für Java-Anwendungen. Der Exploit enthält eine schwerwiegende Sicherheits-Schwachstelle, die es Angreifern ermöglicht, auf dem Zielsystem eigenen Programmcodes auszuführen. Dies kann zum Beispiel Schadcode sein (Stichwort Erpressung durch Verschlüsselung) oder auch Malware in Form, dass die Rechenleistung des betroffenen PCs  von den Angreifern für das Schürfen von Bitcoins verwendet wird. Der Rechner wird somit langsamer. Die kritische Schwachstelle hat Auswirkungen auf wirklich alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von log4j Teile der Nutzeranfragen protokollieren. Eine Liste der bekanntesten betroffenen Programme finden Sie hier.

 

Handlungsanweisungen für Betroffene:

  1. Feststellen, ob betroffen oder nicht – z.B. indem man nach der Datei „*log4j*“ im Windos Explorer alle Festplatten und Ordner durchsucht.
  2. Falls betroffen, nicht zwingend benötigte Systeme abschalten und die Bibliothek mindestens auf Version 2.15 patchen.

Nachtrag: Neuer Scanner prüft, ob das eigene System bezüglich Log4shell betroffen ist.

Zitat: „Die Sicherheitslücke Log4shell betrifft eine sehr weit verbreitete Java-Bibliothek. Viele Betroffene erfahren erst davon, nachdem sie Opfer eines Angriffs geworden sind. Ein neues Tool soll helfen. Das Bundesamt für Informationstechnik hatte die Sicherheitslücke Log4shell in der Protokollierungsbibliothek Log4j im Dezember als extrem kritische Bedrohungslage bewertet und damit die höchstmögliche Warnstufe gewählt. Die Sicherheitsfirma Sec-Research hat einen kostenlosen Scanner entwickelt, der prüft, ob eine Website von dem Problem betroffen ist. Zunächst war die Schwachstelle bei Minecraft-Websites bekannt geworden. Schnell wurde deutlich, dass viele weitere bekannte Dienste wie Steam oder die iCloud betroffen sein dürften – insgesamt sind es laut Cybersicherheitsexperten wohl Millionen von Web-Applikationen. Denn die betroffene Bibliothek ist sehr weit verbreitet. Das neue Tool scannt eine Website, Webapps oder ganze Domains und Subdomains. Alle Unterseiten würden untersucht, heißt es auf der Homepage. So sollen alle möglichen Eintrittsvektoren gefunden werden. Dafür muss man lediglich die URL eingeben und bekommt das Ergebnis des Scans anschließend per Mail.“