Sicherheitslücke
log4shell

Hier finden Sie unsere Updates zum Umgang mit den Technologien von IBM, SAP & Microsoft.

22.12.2021 // 16:30 Uhr // IBM

IBM hat weitere Erkenntnisse zu der Sicherheitslücke gewonnen und Fixes für die nachfolgende Software bereitgestellt.

• IBM Cognos Analytics ab 11.0.7 (Update auf Log4j 2.16): Security Bulletin: IBM Cognos Analytics: Apache Log4j vulnerability (CVE-2021-45046)
• IBM Planning Analytics Workspace (Update auf Log4j 2.17) vom 21.12.21: Security Bulletin: IBM Planning Analytics 2.0: Apache Log4j Vulnerabilities (CVE-2021-45046 & CVE-2021-45105)
• Weitere Fixes für IBM Produkte (z.B. IBM Cognos Controller oder SPSS Produkte): IBM PSIRT Blog

20.12.2021 // 18:30 Uhr // IBM

IBM ist weiterhin mit Hochdruck dabei angreifbare Produkte zu erkennen und Fixes bereitzustellen. Die zuletzt veröffentlichen Fixes scheinen laut Apache Software Foundation die Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics Workspace nur teilweise zu schließen. Zum finalen Abdichten der Lücke wird nach aktuellen Stand ein weiteres Fix benötigt.

In der Zwischenzeit sollte für jede Installation separat geklärt werden, wie hoch das Risiko ist und ob sie ggf. temporär abgeschaltet werden kann.

17.12.2021 // 14:19 Uhr // Microsoft

Sämtliche Informationen zu Microsoft Technologien können Sie dem Microsoft Security Blog entnehmen. Dieser wird stetig aktualisiert.

16.12.2021 // 18:49 Uhr // IBM

IBM hat Fixes für die Technologien IBM Planning Analytics Workspace, IBM Cognos Analytics with Watson und weitere IBM Produkte herausgebracht. Sofern diese Fixes die Bibliothek „Log4j“ auf Version 2.15.0 updaten, besteht teilweise ein Schutz (Schutz vor Remote Code Execution). Laut IBM X-Force reicht dieser Fix nicht vollständig aus. Dennoch liefert er einen besseren Schutz als die Vorversionen.

14.12.2021 // 16:29 Uhr // IBM

Wir halten uns zu der Sicherheitslücke namens Log4Shell (CVE-2021-44228) minütlich über sämtliche relevante Kanäle informiert. Wir warten auf eine finale Rückmeldung seitens IBM. Auf Basis der unsicheren Informationslage können wir aktuell noch keine Handlungsempfehlung geben.

• BSI (Bundesamt für Sicherheit in der Informationstechnik): höchste Warnstufe
• RedHat: Warnstufe 9,8 von 10
• NIST (National Institute of Standards and Technology): Warnstufe 10 von 10

14.12.2021 // 16:29 Uhr // SAP

Sämtliche Informationen zu SAP Technologien finden Sie auf der offiziellen Seite: "SAP untersucht weiterhin die Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228) im Zusammenhang mit Apache Log4j, die am 10. Dezember 2021 bekannt wurde. SAP rät seinen Kunden, auf die neueste Version von Log4j zu aktualisieren, sofern zutreffend." SAP Global Security, Chief Trust Office

Zum Aufruf der offiziellen Informationen seitens SAP benötigen Sie Ihre SAP Universal ID. Das Dokument wird seitens SAP regelmäßig aktualisiert.

13.12.2021 // 16:28 Uhr // IBM

Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics with Watson nachgewiesen.

Unsere dringende Empfehlung: Schalten Sie sämtliche IBM Analytics Systeme ab, die mit dem Internet verbunden sind und kontaktieren Sie bei Fragen gerne unsere Experten Martin Otto oder Dominik Schott.

• In der Java-Bibliothek 'Log4j' steckt eine Sicherheitslücke.
• Es besteht die Möglichkeit, sich z.B. bei Cognos mit einem manipulierten Textausdruck anzumelden, der von #Log4j ausgeführt wird.
• So können sich Angreifer in Systeme einschleusen und weiteren Schadcode ausführen.
• Betroffen sind im Cognos Umfeld: IBM Cognos Analytics with Watson, Planning Analytics with Watson, SPSS, Planning Analytics Workspace.
• IBM sitzt bereits mit Hochdruck an nötigen Updates.