Statement embedded data zur log4j / log4shell -CVE-2021-44228

Statement zur log4j-Sicherheitlücke_Blog

Sicherlich haben Sie von der kürzlich bekannt gewordenen Sicherheitslücke in der Java- Softwarebibliothek log4j (CVE-2021-44228) gehört - diese ermöglicht auf betroffenen Systemen die Remote-Code-Ausführung (eine der schwerstmöglichen Sicherheitslücken).

Das Wichtigste zuerst: in unserer IIoT-Software da³vid zur Sammlung/Auswertung/Visualisierung von Prozess- & Maschinendaten werden keine Java-Komponenten und daher auch kein log4j verwendet - daher sind Anwender unserer Software auf keiner Ebene davon betroffen (weder Edge-Geräte, noch On-Premises-Server oder SaaS-Instanzen).

In unserem Unternehmen verwenden wir verschiedenste Software, die wir entweder selbst oder in Zusammenarbeit mit dem jeweiligen Anbieter auf die Verwendung der betroffenen Komponente oder andere Sicherheitsprobleme untersuchen bzw. bereits untersucht haben.
Möglicherweise betroffene von uns selbst betriebene Software wird mindestens bis zum Einspielen der entsprechenden Patches abgeschaltet.

Wir werden die Situation weiterhin genau beobachten und Sie auf dem Laufenden halten, sollte sich der Status hierzu ändern.
Bei weiteren Fragen oder Bedenken wenden Sie sich bitte an unseren Support (support@embedded-data.de).