Willkommen bei intarsys

Sicherheitswarnung des BSI zu log4jShell

Sind intarsys Produkte von der Sicherheitslücke betroffen?

Das BSI hat folgende Sicherheitswarnung veröffentlicht.
Das tatsächliche Problem wird in einem PDF erläutert, welches auf der BSI-Seite laufend aktualisiert wird.
 

intarsys Produkte sind von dem Sicherheitsproblem nicht betroffen!

Sie können die folgenden intarsys Produkte in den unterstützten Versionen ohne Änderungen weiter betreiben:

  • Sign Live! CC
  • Sign Live! CC DATEV-Edition
  • Sign Live! CC SPARKASSEN-Edition
  • Sign Live! cloud suite bridge
  • Sign Live! cloud suite gears
  • Sign Live! cloud suite SDK

Die Java Bibliothek, die das Problem verursacht, wird in diesen Produkten nicht verwendet.

Dies gilt auch für das von intarsys vertriebene Produkt Archisoft des FHI-SIT in den Versionen 1.1.1.8 und 1.1.1.9.

Produktspezifische Erläuterungen

  • In Sign Live! cloud suite gears bis Version 8.7 eingesetzte Drittprodukte basieren auf der kritischen Log4j-Version 2.14, jedoch wird im Kontext von gears die gefährdende Bibliothek log4j-core-*.jar weder ausgeliefert noch verwendet. Gefährdungspotential besteht daher nicht.
  • Mit Sign Live! CC ausgelieferte Beispielimplementierungen (sdk/JMS) verwenden die Log4j-Version 1.x. Diese werden ausschließlich durch Kommandozeilenaufruf am System aktiv und benötigen zusätzlich eine besondere Log4j-Konfiguration. Sie werden daher nicht als Gefährdungspotential betrachtet.

Weitere Sicherheitshinweise zu benötigten Basiskomponenten

Tomcat 9 verwendet in seiner Grundausstattung ohne Standard- und weitere WebApps kein Log4j.

Allgemeine Sicherheitshinweise zu benötigten Basiskomponenten

Verwenden Sie die JVM in der benötigen Version (Java 11, SLcs gears: Java 8) auf möglichst aktuellem Patch-Level.
Die in Sign Live! CC / PDF/A Live! integrierte JVM erfüllt dies (Java 11).
Für Sign Live! cloud suite gears sollte mind. Azul JDK 8u312+ eingesetzt werden.

Weitere Hintergrundhinweise

Als erste am Markt erhältliche Langzeitaufbewahrungslösung hat der proNEXT Archive Manager der procilon GROUP vom BSI das TR-ESOR-Zertifikat nach der neuen Version ...