News

Berlin, Dec 13, 2021

Nach einer tiefgehenden Analyse sind wir zu dem Schluss gekommen, dass kein i-net software Produkt von der log4j-Sicherheitslücke CVE-2021-44228 betroffen ist.

Wir haben über die Sicherheitslücke folgendes Statement herausgegeben, zu finden auf unserer FAQ-Webseite.

Die Schwachstelle betrifft nur die Log4j-Versionen 2.0 bis 2.14.1 (siehe https://www.lunasec.io/docs/blog/log4j-zero-day/) - von denen keine jemals in Produkten von i-net software verwendet wurde. Wir haben die Version 1.2.17 ab 10/2015 bis 05/2020 für kleinere Funktionen ohne direkte Eingabe von Webparametern verwendet.

Außerdem sind laut Beschreibung nur Java-Versionen vor (einschließlich) `8u191` und `11.0.1` betroffen. i-net software musste im April 2020 ein Sicherheitsrelease veröffentlichen, das die damals aktuelle Java-Version 11.0.7 für alle Produkte enthielt, die mit einer Java 11 VM ausgeliefert werden - konkret: i-net HelpDesk 8.2.374 und neuer, i-net PDFC 5.1 und neuer, i-net Clear Reports 17.1 und neuer. Frühere Produktversionen ab dem Sicherheitsrelease vom April 2020, die die Java 8 VM enthalten, wurden mit 1.8.0_211 für Windows-Installer und 1.8.0.191 für macOS-Installer ausgeliefert.

Das bedeutet, dass Produktversionen, die neuer als - einschließlich - Version 20.10 sind, keinerlei Bezug zu log4j haben. Versionen vor 20.10 sind nicht betroffen, da eine frühere Version von log4j verwendet wird - auch wenn eine betroffene Java VM verwendet werden kann.

Auch wenn keine Produkte von i-net software direkt von dem aufgedeckten kritischen RCE CVE-2021-44228 von log4j betroffen sind, wird empfohlen, auf die letzten veröffentlichten Minor-Versionen zu aktualisieren. Wenn Sie Ihre Installationen mit den neuesten unterstützten Hauptversionen auf dem neuesten Stand halten, stellen Sie sicher, dass Sie von unseren Sicherheitspatches profitieren.

Aktualisierte Informationen dazu finden Sie auf unserer FAQ-Website.