Java-Lücke log4j auch kritisch für CAFM-Systeme?
CAFM-NEWS – Die jüngst publizierte Java-Sicherheitslücke log4j könnte auch CAFM-Systeme betreffen. Darum haben die CAFM-News rund 50 Anbieter von CAFM-Systemen angeschrieben und die jeweilige Situation erfragt.
Die Bibliothek log4j ist Teil von Java und läuft auf vielen Server-Systemen. In den Versionen 2.0 bis 2.14.1 stellt sie ein kritisches Sicherheitsrisiko dar, weil Angreifer über sie die Kontrolle über das Gesamtsystem übernehmen können, meldete am Wochenende das Bundesamt für Sicherheit in der Informationstechnik (BSI) und versah Log4j mit der Warnstufe Rot. Grund zur Sorge für CAFM-Nutzer?
Es kommt darauf an. Und zwar hierauf:
- Wird Java überhaupt für den CAFM-Server genutzt?
- Ist einer der betroffenen Bibliotheks-Versionen in Anwendung?
- Läuft das System öffentlich zugänglich im Web?
Jedes Nein als Antwort macht das eigene System sicherer. Und natürlich die Versicherung des jeweiligen Anbieters, dass die eigene Software nicht gefährdet ist. Die ersten haben das bereits online oder per Mail an ihre Kunden getan. Oder unsere Anfrage beantwortet. Das haben wir Redaktionsschluss (18 Uhr) die folgenden Anbieter getan:
- Archibus (Lücke geschlossen, wenige Systeme betroffen, Kunden informiert)
- Byron Byron/BIS (nicht betroffen)
- Communal FM (kein Java)
- EBCsoft (nicht betroffen)
- eTask (nicht betroffen)
- Facility Consultants (Java-Framework nicht eingesetzt)
- FaciWare (kein Java)
- Gebman ProOffice (kein Java)
- GIS Project (Bibliotheken nicht verwendet)
- HSD Nova FM (nicht betroffen)
- iffm iffmGIS (nicht betroffen)
- InCaTec / Axxerion (nicht betroffen)
- KeyLogic (nicht betroffen)
- Kolibri Software (nicht betroffen)
- Korasoft (nicht betroffen)
- Loy & Hutz waveware/visual FM (kein Java)
- mohnke (m) (nicht betroffen)
- N+P Spartacus(nicht betroffen)
- pit-cup (kein Java)
- Planon (nicht betroffen)
- RIB IMS iTWO fm (kein Java)
- sMotive (betroffene Bibliothek nicht im Einsatz)
- Speedikon (kein Java)
- WeltWeitBau (nicht betroffen)
Das sind bereit 22 Anbieter, die direkt Entwarnung geben konnte. Aber es sind nicht alle. Daher die Frage:
Wie schaut es bei den CAFM-Herstellern aus, die hier noch nicht gelistet sind? Haben Sie als Kunde bereits eine information bekommen? Haben Sie als Hersteller bereits Informationen verschickt? Wie ist der Stand der Dinge?
Hinterlassen Sie gerne die aktuellen Informationen in einem Kommentar. Vielen Dank!
Abbildungen: Markus Spiske/Unsplash; Ocal/Clker; Montage: CAFM-News
Man kann übrigens hier online scannen lassen: https://sec-resear.ch/
Hallo Andreas,
vielen Dank für den Hinweis, der entsprechende Eintrag in der Übersicht ist gelöscht.
Einen guten Überblick („Was nicht hilft…!“) bzw. wie man sein System scannen kann findet man auch hier: https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html
Und, mit Verlaub, der Tipp „Gibt es auch Eingabemasken, die Log4j nutzen?“ ist sicher nett gemeint, hat aber nichts mit der Problematik zu tun.
DATEV scheint auch betroffen zu sein, hier hat man einen Fix veröffentlicht https://apps.datev.de/help-center/documents/1022948