News


Informationen zur Sicherheitslücke CVE-2021-44228                                  

 

System Telenüp

Das System Telenüp mit den Programmen „DORENA Professional, PAM, ReBilling, Inter-Kom und Systempflege“ sind von der Sicherheitslücke CVE-2021-44228 nicht betroffen.

Die hauseigenen Softwareprodukte sind in Programmiersprache C++ entwickelt und verwenden die Java-Bibliothek nicht. Für die softwareseitige Protokollierung der internen Verarbeitungsschritte, Meldungen und Fehler verwenden wir eine Eigenlösung auf Basis der Programmiersprache C++. In den Protokolldateien werden keine Anmeldedaten zum System Telenüp gespeichert.

 

Softwarekomponenten von Drittherstellern

Das System Telenüp verwendet das Framework „Filework“ für die X.400 Mailbox-Anbindung. Das Framework wird von der Deutschen Telekom bereitgestellt.

Hersteller, Produkt und Warenzeichen UA-FI und MailmaX.400 sind Warenzeichen der Firma AddOnMail, Frankreich.

Das Framework „Filework“ ist eine proprietäre Software und verwendet kein Java. Detaillierte Informationen können Sie über die Deutsche Telekom oder über den Softwarehersteller erfahren.

Die systemseitig verwendeten Softwarebibliotheken „7-Zip, Open SSL und List&Label“ sind ebenfalls keine Java-Bibliotheken und von der aktuellen Sicherheitslücke nicht betroffen.

 

Sicherheitslücke CVE-2021-44228

Die weit verbreitete Java Bibliothek „log4j“ der Open-Source Gemeinde, beinhaltet eine Schwachstelle, die es Angreifern erlaubt, beliebigen Schadcode auf dem System auszuführen. Die Schwachstelle wird ausgenutzt, sobald über die Bibliothek eine Log-Datei geschrieben wird. Dabei ist es unerheblich, um welche Log-Datei es sich handelt. Für die Schwachstelle gibt es einen funktionierenden proof-of-concept Exploit. Es werden bereits aktive Angriffsversuche beobachtet, welche diese Schwachstelle auszunutzen versuchen, um Zugriff auf Systeme zu erlangen.
 

Bitte prüfen Sie Ihre Systeme:

 1.   Prüfung des IT-Asset Inventars Ihres Unternehmens auf die Verwendung von log4j in der Version >= 2.0 und <=  

       2.14.1

 2.   Prüfung der Access-Logs von öffentlich erreichbaren Systemen auf den Indikator string nach folgendem regulären Ausdruck: jndi:(ldap[s]?|rmi|dns)
Auf Linux Systemen kann eine solche Suche beispielsweise mit folgendem Befehl durchgeführt werden:

 sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' /var/log

          sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E –I '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+'

          Weitere Indikatorstrings finden Sie HIER.

 3.    Prüfung der Logs auf intern erreichbaren Systemen nach dem Indicatorstring

 4.    Prüfen Sie, ob folgender Workaround in Ihrem System eingesetzt werden kann: Set log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups to true

 

Boyce

Die Webanwendung "Boyce" basiert auf Java Open Source Bibliotheken. Die aktuelle Boyce Version 4.0.3 verwendet die „log4j“ Bibliothek in den Versionen 1.6.5 und 1.7.25.

Bezüglich der Sicherheitslücke steht ab sofort das Boyce Update 4.0.4 zur Verfügung. Für die hauseigenen Java Klassen wurde die „log4j“ Bibliothek auf die Version 2.16.0 aktualisiert.

Die Aktualisierung der Fremdbibliotheken erfolgt durch die Hersteller. Wir werden die Updates der Hersteller schnellstmöglich integrieren und informieren Sie zeitnah über neue Boyce Updates.

Aktualisieren Sie bitte Ihre Boyce Version und löschen alle vorhandenen Log-Daten aus den Bodo Peters Unterverzeichnissen (z.B. „...\Bodo Peters\Boyce\*.log“). Beachten Sie bitte auch das BSI-Dokument.

Damit wäre, aus heutiger Sicht, diese Sicherheitslücke in der Webanwendung "Boyce" geschlossen.


ACHTUNG: Bitte achten Sie darauf, dass die Version Telenüp 8.0.3 und die Boyce Version 4.0.4 über die Synchronisation miteinander „verheiratet“ sind.

Das bedeutet, ein alleiniges Einspielen der Boyce Version 4.0.4 genügt nicht, sondern wir müssen, im gleichen Zuge, auch eine Umstellung auf die Version Telenüp 8.0.3 durchführen.

 

Kontaktieren Sie bitte die Hotline (Tel. 04624 8050-450) bzw. Ihren Kundenberater, um die weitere Vorgehensweise zu besprechen.