Ist der Log4J Exploit eine Gefahr für Anwender unserer Software?

Seit Anfang Dezember 2021 warnt das BSI (Bundesamt für Sicherheit in der Informationstechnik) über eine kritische Schwachstelle in Log4j (CVE-2021-44228).

  • Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung [1]
  • Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren. [1]
  • In diesem Zusammenhang wurde auch der tecnotron elektronik gmbh die Frage gestellt, inwieweit die von uns vertriebenen Software-Produkte Log4j verwenden, und somit eine Gefahr für die Anwender sind. Wir haben die Softwarehersteller daraufhin angeschrieben und um eine entsprechende Stellungnahme gebeten.

Aus unserer Sicht stellt die von uns betreute Software keine Gefahr im Sinne des Log4j Exploits dar.
 

WestDev (Pulsonix)

  • Log4j ist ein Java-basiertes Protokollierungssystem, das mit Apache-Webservern geliefert wird. Wir verwenden diese Möglichkeit nicht. [2], [3]
     

Downstream Technologies (CAM350 und BluePrint for PCB)

  • Unsere Tools verwenden kein Apache Log4j. Es gibt keine Exposition mit unseren Tools.
     

In-Ciruit Design (StackUp Planner, PDN Planner, CPW Planner)

  • Wenn die Software von unserer Website (www.icd.com.auheruntergeladen wird, gibt es keine Probleme.
    Log4j ist eine Java-Bibliothek zum Protokollieren von Fehlermeldungen in Anwendungen. Die iCD-Software ist vollständig in Microsoft Visual Studio C# geschrieben und hat keine Java-Plugins.

PCB Libraries (Footprint Expert)

  • Die PCBL-Software ist davon überhaupt nicht betroffen, da sie keine Apache / Log4j-Bibliothek verwendet.

ALTAIR (PollEx)Die PCBL-Software ist davon überhaupt

  • Altair verfolgt aktiv die Sicherheitslücke im Open-Source-Apache-Dienstprogramm "Log4j 2" (CVE-2021-44228). Wir bewerten derzeit die potenziellen Auswirkungen der Schwachstelle auf Altair-Produkte und -Dienste. Dies ist ein fortlaufender Vorgang und wir werden weiterhin Updates über unsere Kundenkommunikationskanäle [4] bereitstellen. Diese Beratungsseite wird aktualisiert, um relevante Informationen zu unserer Bewertung aufzunehmen.
    PollEx ist auf der Liste der NICHT betroffenen Anwendungen. Vollständige Liste unter [5] (Erreichbar nur für ALTAIR Anwender mit Freischaltung).

Quellen:
[1]
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)
[2] https://blog.avast.com/log4j-vulnerability-avast-blog
[3] https://www.zdnet.com/article/log4j-zero-day-flaw-what-you-need-to-know-and-how-to-protect-yourself/

[4] ALTAIR Security Bulletin
[5] Liste betroffener und nicht betroffener ALTAIR Anwendungen (Nur für Anwender mit ALTAIR Account erreichbar)

 

 

Pressekontakt

Ansprechpartner: Achim Schulte
Tel.: +49 8389 9200-406
Email: aschulte(@)tecnotron.de