Sind intarsys Produkte von der Sicherheitslücke betroffen?
Das BSI hat folgende Sicherheitswarnung veröffentlicht.
Das tatsächliche Problem wird in einem PDF erläutert, welches auf der BSI-Seite laufend aktualisiert wird.
intarsys Produkte sind von dem Sicherheitsproblem nicht betroffen!
Sie können die folgenden intarsys Produkte in den unterstützten Versionen ohne Änderungen weiter betreiben:
- Sign Live! CC
- Sign Live! CC DATEV-Edition
- Sign Live! CC SPARKASSEN-Edition
- Sign Live! cloud suite bridge
- Sign Live! cloud suite gears
- Sign Live! cloud suite SDK
Die Java Bibliothek, die das Problem verursacht, wird in diesen Produkten nicht verwendet.
Dies gilt auch für das von intarsys vertriebene Produkt Archisoft des FHI-SIT in den Versionen 1.1.1.8 und 1.1.1.9.
Produktspezifische Erläuterungen
- In Sign Live! cloud suite gears bis Version 8.7 eingesetzte Drittprodukte basieren auf der kritischen Log4j-Version 2.14, jedoch wird im Kontext von gears die gefährdende Bibliothek log4j-core-*.jar weder ausgeliefert noch verwendet. Gefährdungspotential besteht daher nicht.
- Mit Sign Live! CC ausgelieferte Beispielimplementierungen (sdk/JMS) verwenden die Log4j-Version 1.x. Diese werden ausschließlich durch Kommandozeilenaufruf am System aktiv und benötigen zusätzlich eine besondere Log4j-Konfiguration. Sie werden daher nicht als Gefährdungspotential betrachtet.
Weitere Sicherheitshinweise zu benötigten Basiskomponenten
Tomcat 9 verwendet in seiner Grundausstattung ohne Standard- und weitere WebApps kein Log4j.
Allgemeine Sicherheitshinweise zu benötigten Basiskomponenten
Verwenden Sie die JVM in der benötigen Version (Java 11, SLcs gears: Java 8) auf möglichst aktuellem Patch-Level.
Die in Sign Live! CC / PDF/A Live! integrierte JVM erfüllt dies (Java 11).
Für Sign Live! cloud suite gears sollte mind. Azul JDK 8u312+ eingesetzt werden.
