Hinweis:
Bei nachfolgendem Artikel handelt es sich um einen Auszug aus dem ausführlichen Artikel in unserem WIKI.
Um alle betroffenen Versionsstände und weitere Details einsehen zu können, folgen Sie diesem Link zum Wiki-Artikel.
Wichtig:
Wir haben im Dezember 2021 unverzüglich nach Bekanntwerden der Sicherheitslücken alle Kunden persönlich angeschrieben und mit Update-Informationen und Patches/Updates versorgt.
Solche sicherheitsrelevanten Infrmationen versenden wir auch immer über unseren ADMIN-Newsletter. Sollten Sie HVS32 Administrator / Applikation Owner / Verantwortlicher sein, ist es empfehlenswert sich bei diesem Newsletterverteiler anzumelden.
Das Anmeldeformular finden Sie unter diesem Link.
Hiermit nehmen wir Bezug auf die im Dezember 2021 veröffentlichten Sicherheitslücken in der log4j Bibliothek, welche von vielen Softwareanbietern zum Handling von Protokollierungs-/Logdateien verwendet wird und so auch in Verwendung der von uns bereitgestellten Applikationen ist.
Die von HEIDLER betroffenen Applikationen, welche demnach log4j in den kritischen Versionen 2.0 - 2.17.0 verwenden, finden Sie unten aufgelistet! Das HVS32 an sich ist nicht davon betroffen, allerdings einige Teil-Komponenten/Dienste.
Da die Applikationen der HEIDLER Strichcode GmbH, welche die betroffene Bibliothek log4j nutzen, in Ihrem gesicherten Intranet auf einem i.d.R. von außen unzugänglichen Server installiert sind und ausschließlich mit Ihrem Vorsystem, anderen Applikationen der HEIDLER Strichcode GmbH in Ihrem Intranet und Clientside mit den Webservern der Frachtdienstleister kommunizieren, ist ein Ausnutzen der log4j Sicherheitslücken in Abhängigkeit Ihrer Infrastruktur und grundlegenden IT-Sicherheitsmaßnahmen eher unwahrscheinlich, wobei wir dennoch dringend eine Aktualisierung der betroffenen Softwarekomponenten empfehlen!
Bitte teilen Sie unserem Support eine Liste aller HEIDLER Software-Komponenten mit, welche auf Ihrem HVS32 Server installiert sind. Hierzu können Sie z.B. mittels der Windows-Suche nach "log4j*.jar" suchen und uns die Liste der Dateipfade zukommen lassen, oder via “Programme und Features” die installierten Dienste samt Versionsinfos auslesen.
Ein Mitarbeiter des HEIDLER Software-Support wird Ihnen dann alle entsprechenden neuen Setups für die Aktualisierung zur Verfügung stellen und Sie bei Bedarf bei der Installation unterstützen. Grundlegend können Sie die Updates selbstständig durchführen, je nach Komponente kann eine Downtime des Gesamtsystems/Versandprozesses erforderlich sein.
Hinweis:
Um ein Update durchzuführen, starten Sie das heruntergeladene Setup und folgen Sie den Installations-Anweisungen. Im Anschluss muss überprüft werden, ob der jeweilige Windows-Dienst (Nicht bei jeder Applikation vorhanden) gestartet ist. Zusätzliche Informationen diesbezüglich finden Sie in der Spalte Update Hinweise!
Bitte beachten Sie weiterhin, dass diese Sicherheitslücke auch andere Teile Ihrer Infrastruktur (unabhängig Heidler Komponenten) betreffen kann/wird, da es sich bei log4j um eine sehr verbreitete Bibliothek handelt, welche demnach in sehr vielen Applikationen verwendet wird (Cisco, VMWare, Oracle, ...)!