Aktualisiert vom 15/12/2021 - 15:37
Guten Tag,
Unsere Teams analysieren derzeit die Auswirkungen der Sicherheitslücke CVE-2021-44228 Log4Shell/Log4j Version 2.x in ProConcept 11.1, 11.2 und 11.3 Details zur Sicherheitslücke https://cve.report/CVE-2021-44228
Der Code von ProConcept verwendet diese Library nicht, sodass der ERP-Kern in den Versionen 11.1, 11.2 und 11.3 nicht betroffen ist. (Frühere Versionen wurden nicht analysiert)
log4j Version 2.x wird jedoch in mehreren externen Komponenten verwendet :
1) Für alle unsere Kunden ProConcept 11.1 Web
- denDruckserverSAP Crystal Report
- Workarround : Installieren Sie den Hotfix vom 15.12.2021, der log4j deaktiviert (siehe mit dem Customer Support)
2) Für unsere Kunden, die sie erworben haben
- Oracle BI
Bis die Anbieter Patches bereitstellen, können Sie das Ausmass der Gefährdung verringern, indem Sie sicherstellen, dass diese Komponenten nicht über das Internet zugänglich sind.
3) Komponenten, die in der Oracle-Datenbank vorhanden, aber nicht aktiviert sind und von ProConcept nicht verwendet werden
- Oracle Spatial and Graph
- Trace File Analyzer Collector (TFA)
Informationsseite der Anbieter:
- Moovappshttps://mymoovapps.net/actualites/vulnerabilite-dans-apache-log4j
- Oraclehttps://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Mit besten Grüssen
ProConcept