Neuigkeiten

Hinweis zur Sicherheitslücke in der Bibliothek Log4j (dt/eng)

Sehr geehrte Damen und Herren,

 

Nachdem uns schon einige besorgte Nachfragen erreicht haben, dürfen wir Ihnen mitteilen, dass laut Hersteller Ihr Cherwell Service Management System nicht von der unlängst bekannt gewordenen Sicherheitslücke in der Java Logging Bibliothek Log4j betroffen ist. Cherwell ist in der .NET-Welt zu Hause, daher kommt diese Bibliothek nicht zum Einsatz.

Eine Ausnahme stellen allerdings die Versionen 9.4 & 9.5 dar, in der mit ActiveMQ eine Message Queueing Komponente in der Backend-Kommunikation zum Einsatz kam, für die auch Apache-Technologie erforderlich war. Die Log4j Bibliothek findet sich daher in der Ordner-Struktur Ihrer Cherwell-Server-Installation der Versionen 9.4 & 9.5.

Diese Technologie wurde in den Folgeversionen durch das RabbitMQ Framework ersetzt, womit kein Risiko mehr besteht. Sollte Ihre Cherwell Infrastruktur darüber hinaus nicht aus dem öffentlichen Internet erreichbar sein, dürfte - nach allem was aktuell bekannt ist - ohnehin kein Risiko bestehen.

Dennoch empfehlen wir Kunden, die heute noch die Version 9.4 oder 9.5 einsetzen, dringend ein Update auf eine aktuellere Cherwell Version!

Zur Sicherheit empfiehlt es sich zusätzlich sicherzustellen, dass Kommunikation vom Cherwell Backend ins Internet durch Ihre Sicherheitstechnologie unterbunden wird.

 

Der Hersteller IVANTI selbst veröffentlicht und pflegt eine Liste mit Produkten und deren Betroffenheit, die Sie hier einsehen können:

Article Link: https://forums.ivanti.com/s/article/CVE-2021-44228-Java-logging-library-log4j-Ivanti-Products-Impact-Mapping

 

Hilfreiche Informationen zum Thema log4j und möglichen Maßnahmen finden Sie hier:

https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html

 

Für Ihre weiteren Fragen stehen wir Ihnen gern zur Verfügung.

Ihr Prevolution-Team

----------------------------------------------------------------------

 

Dear all, 

 

As we have received a number of concerned requests, we would like to inform you that, according to the vendor, your Cherwell Service Management System is not affected by the recently identified security gap in the Java logging library Log4j. Cherwell is located in the .NET world, therefore this library is not in use.

One exception are the versions 9.4 and 9.5, in which ActiveMQ, a message queueing component, was used in the back-end communication, for which Apache technology was also required. The Log4j library can therefore be found in the folder structure of your Cherwell server installation of version 9.4 and 9.5. This technology has been replaced by the RabbitMQ framework in the following versions, so that there is no more risk. Beyond that, if your Cherwell infrastructure is not accessible from the public internet, there should not be any risk  - according to all that is known so far.

We urgently recommend, nevertheless, that customers who are still using version 9.4 or 9.5 update to a more recent Cherwell version!

For security reasons, it is also recommended to ensure that communication from the Cherwell backend to the Internet is prevented by your security infrastructure.

 

The vendor IVANTI publishes and maintains a list of their products and how they are affected. Please find the list here:
Article Link: https://forums.ivanti.com/s/article/CVE-2021-44228-Java-logging-library-log4j-Ivanti-Products-Impact-Mapping

 

Useful information about log4j and possible actions can be found here:
www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html

 

Please do not hesitate to contact us if you have any further questions.

Your Prevolution-Team