MYCAD Newsletter Videothek Dokumentation Support

Kritische Schwachstelle in log4j: auxalia Software ist nicht betroffen

Auxalia Software

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Sicherheitswarnung der Stufe 4 zu einer kritischen Schwachstelle in log4j veröffentlicht. Die betroffene Log4j-Bibliothek kommt in zahlreichen Diensten und Anwendungen zum Einsatz.

Uns erreichen daher vermehrt Anfragen, ob auch unsere Lösungen davon betroffen sind. Die Entwicklungsabteilung von auxalia hat umgehend unsere Eigenentwicklungen dahingehend überprüft. Die gute Nachricht: In keiner Anwendung kommt die betroffene Bibliothek zum Einsatz und daher sind diese nicht davon betroffen!

Auch Autodesk untersucht alle Software-Lösungen hinsichtlich einer möglichen Verwundbarkeit. Die aktuellen Informationen zum Stand der Untersuchungen finden Sie im Autodesk Trust Center.

Weitere Informationen zu den technischen Hintergründen von CVE-2021-44228 und CVE-2021-45046 finden Sie u.a. beim NIST (National Institute of Standards an Technology). Hilfestellungen für Administratoren bietet z.B. Heise online.

Allgemeiner Sicherheitshinweis: Unabhängig von der hier beschriebenen Problematik achten Sie am besten immer darauf, die jeweils aktuellsten Versionen Ihrer Autodesk oder auxalia Software zu nutzen und Updates oder Patches schnellstmöglich zu installieren. So gehen Sie auf Nummer Sicher.

——————————————————————————-
UPDATE 22.12.2021
Inzwischen haben uns auch mehrere Rückmeldungen von weiteren Herstellern erreicht, deren Lösungen wir anbieten.

SOLAR-COMPUTER
Die offizielle Stellungnahme vom 16.12.2021 finden Sie hier als PDF.

Pit-cup
Das Unternehmen hat eine eigene Seite mit den aktuellen Informationen erstellt.

euroGIS IT-Systeme
Der Hersteller der StadtCAD Produktfamilie vermeldet auf der Website, dass StadtCAD Software nicht von der Sicherheitslücke betroffen ist.

B&B Ingenieurgesellschaft
Aussage des Unternehmens: „Unsere eigene Software BBSoft ist in der Programmiersprache C++ geschrieben und verwendet keine Java-Bibliotheken.Somit ist unsere Software nicht von der Zero-Day-Lücke Log4Shell (CVE-2021-44228) betroffen.Für Dritt-Software, wie z.B. die CAD-Basis oder die Oracle-Datenbank können wir leider keine belastbare Auskunft erteilen.“

Transoft Solutions
Aussage des Unternehmens: „Transoft Solutions and its subsidiaries have undertaken an audit in relation to the Log4J vulnerability and can confirm that none of our systems, infrastructure, software products and dependencies are affected. We are currently in the process of reaching out to our vendors to verify the same and continue to monitor the situation, we will update stakeholders if the situation changes.“

——————————————————————————-
UPDATE 04.01.2022
Autodesk hat inzwischen eine Liste mit betroffenen und nicht betroffenen Produkten sowie den durchgeführten Gegenmaßnahmen veröffentlicht. Die Liste finden Sie hier.