Zum Hauptinhalt springen

Sicherheitslücke Log4Shell: CURSOR-Lösungen nicht betroffen

Die Java-Schwachstelle "Log4Shell" (CVE-2021-44228) sorgt derzeit für Verunsicherung. Aufgrund der hohen Tragweite warnt das Bundesamt für Sicherheit in der Informationstechnik seit dem Wochenende mit der höchsten Warnstufe "4/Rot".

Bereits am vergangenen Freitag haben wir daher, u. a. durch gezielte Penetrationstests und Code-Analysen, überprüft, ob die CURSOR-Lösungen von der Sicherheitslücke betroffen sind. Erfreulicherweise hat diese Prüfung ergeben, dass die Sicherheitslücke in unserem CRM-Server und unserem CRM-Client in allen Versionen nicht ausnutzbar ist. Für Nutzerinnen und Nutzer unserer CRM-Lösungen besteht also aktuell kein Handlungsbedarf.

Die Bibliothek Log4j2, in der die Sicherheitslücke enthalten ist, wird zwar mit unseren Softwareprodukten ausgeliefert, jedoch wird sie nicht verwendet, um unsere Protokolldaten zu schreiben. Aus diesem Grund besteht kein akutes Sicherheitsproblem.

Trotzdem haben wir aus Vorsicht, Sorgfalt und auf expliziten Wunsch einiger Kunden einen Workaround bereitgestellt, der bei Verwendung der angreifbaren Bibliothek notwendig gewesen wäre. Diesen Workaround sowie eine gepatchte Version der betroffenen Log4j-Bibliothek haben wir in alle zukünftigen Patches unterstützter CRM-Versionen aufgenommen.

Um das Anwenden der Workarounds weiter zu vereinfachen, stellen wir nun außerdem gepatchte Versionen von Log4j sowie angepasste Versionen unseres Service Wrappers bereit. Der Dateiname der Log4j-Bibliothek bleibt dabei identisch, damit nicht noch weitere Dateien angepasst werden müssen. Inhaltlich handelt es sich aber um eine Version, bei der die Sicherheitslücke geschlossen wurde. Der Patch ist für alle Produktvarianten anwendbar, das heißt für CURSOR-CRM, EVI und TINA kann das gleiche Patch-Paket verwendet werden.

Die Patches für die jeweiligen Versionen sind in unserem Kundenportal downloadbar.

Bei Rückfragen steht Ihnen der CURSOR-Support gerne zur Verfügung.

Update vom 15.12.2021: Weitere Schwachstelle CVE-2021-45046 

Inzwischen wurde mit CVE-2021-45046 eine weitere Schwachstelle in Log4j2 veröffentlicht. Es handelt sich hierbei um einen Spezialfall der seit Freitag bekannten Sicherheitslücke. Auch für diese gilt: Die Sicherheitslücke ist in unserer CRM-Software nicht ausnutzbar. Die verwundbare Komponente wird mit unserer Software ausgeliefert, wird aber nicht für das Schreiben von Protokolldateien verwendet. Daher kann auch CVE-2021-45046 nicht für Angriffe auf unser CRM-System eingesetzt werden. Es gilt weiterhin: Für Nutzerinnen und Nutzer unserer CRM-Lösungen besteht kein Handlungsbedarf.
Wir werden trotzdem in zukünftigen Versionen unserer CRM-Software gepatchte Versionen der betroffenen Komponente ausliefern.