Sehr geehrte Damen und Herren,
das BSI hat am Freitag, 10. Dezember 2021, eine Cyber-Sicherheitswarnmeldung zur sogenannten "Log4Shell" Schwachstelle in der Protokollierungsbibliothek Log4j veröffentlicht. Log4j wird in vielen Java-Anwendungen eingesetzt.
Zum Sachverhalt schreibt das BSI:
„Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.“
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549177-1032.pdf
Weitere Informationen:
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance (Englisch)
Die Analyse von Pilz hat Folgendes ergeben:
- In Pilz Hardware Komponenten kommt kein Java zum Einsatz und somit kein log4j. Demnach sind diese Komponenten nicht betroffen.
-
In Pilz Software Produkten werden die log4j-Versionen 2.0 bis 2.14.1 zwar teilweise genutzt (aktuelle Schwachstelle CVE-2021-44228). Bisherige Analysen haben ergeben, dass sich die Schwachstelle mit hoher Wahrscheinlichkeit nicht ausnutzen lässt. Sollte wider Erwarten, doch eine Gefährdung bestehen, werden wir dazu ein Security Advisory veröffentlichen.
- In einigen Pilz Software Produkten kommt die log4j-Version 1.2.x zum Einsatz. Das Ausnutzen der für diese Version bekannte Schwachstelle (CVE 2021-4104) setzt u.a. eine bestimmte Konfiguration voraus. Diese Konfiguration kommt aber in den Pilz Software Produkten nicht zum Einsatz.
Wir freuen uns, wenn diese Information für Sie hilfreich ist. Bei weiteren Fragen wenden Sie sich bitte an unseren Technischen Support.
Kontakt: support@pilz.com
Mit freundlichen Grüßen
Pilz GmbH & Co. KG