Sind intarsys Produkte von der Sicherheitslücke betroffen?

Das BSI hat folgende Sicherheitswarnung veröffentlicht.
Das tatsächliche Problem wird in einem PDF erläutert, welches auf der BSI-Seite laufend aktualisiert wird.
 

intarsys Produkte sind von dem Sicherheitsproblem nicht betroffen!

Sie können die folgenden intarsys Produkte in den unterstützten Versionen ohne Änderungen weiter betreiben:

  • PDF/A Live!
  • PDF/A Live! ZUGFeRD Toolkit
  • Sign Live! CC
  • Sign Live! CC DATEV-Edition
  • Sign Live! CC SPARKASSEN-Edition
  • Sign Live! cloud suite bridge
  • Sign Live! cloud suite gears
  • Sign Live! cloud suite SDK

Die Java Bibliothek, die das Problem verursacht, wird in diesen Produkten nicht verwendet.

Dies gilt auch für das von intarsys vertriebene Produkt Archisoft des FHI-SIT in den Versionen 1.1.1.8 und 1.1.1.9.

Produktspezifische Erläuterungen

  • In Sign Live! cloud suite gears bis Version 8.7 eingesetzte Drittprodukte basieren auf der kritischen Log4j-Version 2.14, jedoch wird im Kontext von gears die gefährdende Bibliothek log4j-core-*.jar weder ausgeliefert noch verwendet. Gefährungspotential besteht daher nicht.
  • Mit Sign Live! CC ausgelieferte Beispielimplementierungen (sdk/JMS) verwenden die Log4j-Version 1.x. Diese werden ausschließlich durch Kommandozeilenaufruf am System aktiv und benötigen zusätzlich eine besondere Log4j-Konfiguration. Sie werden daher nicht als Gefährungspotential betrachtet.

Weitere Sicherheitshinweise zu benötigten Basiskomponenten

Tomcat 9 verwendet in seiner Grundausstattung ohne Standard- und weitere WebApps kein Log4j.

Allgemeine Sicherheitshinweise zu benötigten Basiskomponenten

Verwenden Sie die JVM in der benötigen Version (Java 11, SLcs gears: Java 8) auf möglichst aktuellem Patch-Level.
Die in Sign Live! CC / PDF/A Live! integrierte JVM erfüllt dies (Java 11).
Für Sign Live! cloud suite gears sollte mind. Azul JDK 8u312+ eingesetzt werden.

 

Weitere Hintergrundhinweise

 

 

Erstellt: 13.12.2021 - 09:40
Stand: 19.12.2021 - 12:19

FAQ Suche