Neuigkeiten Zur News-Übersicht
openKONSEQUENZ professionalisiert Software-Pflege!
openKONSEQUENZ eG entwickelt Open Source-Module für Netzbetreiber und stellt diese den Mitgliedern der Genossenschaft sowie anderen Netzbetreibern zur Verfügung. Eine Herausforderung für den professionellen Einsatz von Open Source-Software ist die normalerweise opportunistische und ungeplante Software-Pflege ohne feste Servicezeiten und abgestimmte Service Level Agreements (SLA), wodurch insbesondere weniger kritische Fehler erst bei „passenden Gelegenheiten“ durch die Entwickler-Community behoben werden. Da die Open Source-Module von openKONSEQUENZ eG jedoch im Umfeld kritischer Infrastrukturen eingesetzt werden, muss für diese Module auch verlässliche Software-Pflege sichergestellt sein.
Weiterlesen...
Log4J - Version 2.17.1
Log4J hat mit Version 2.17.1 weitere sicherheitsrelevante Updates eingepflegt. Die durch das Update betroffenen Features werden von den openKONSEQUENZ-Modulen jedoch derzeit nicht verwendet. Ein Hochziehen der bestehenden Module auf Log4J Version 2.17.1 ist damit nicht zwingend erforderlich. Für Modulneuentwicklungen und Modul-Updates wird von Seiten openKONSEQUENZ die Verwendung von Version 2.17.1 (bzw. neuer) vorgeschrieben und zukünftig durch den Dependency-Checker automatisiert überprüft, damit openKONSEQUENZ-Module auch zukünftig sicher verwendet werden können.
Log4j Problematik in openKONSEQUENZ-Modulen behoben
Der Service Provider Member PTA hat als Plattform-Maintainer die aktuell vom BSI bekannt gegebene Log4j Problematik in den openKONSEQUENZ Modulen untersucht und bereinigt.
In allen betroffenen Modulen wurde Log4j auf die aktuelle Version 2.16 angehoben, in welcher das Problem beseitigt ist. Folgende Auflistung zeigt den Stand der Module:
- Betriebstagebuch: nicht betroffen
- Bereitschaftsplanung: nicht betroffen
- Portal (inkl. Auth&Auth): nicht betroffen
- Stellungnahmen (TÖB): Fixed
- Kontaktstammdaten: Fixed
- Störungsinformationstool: Fixed
Die nicht betroffenen Module Betriebstagebuch, Bereitschaftsplanung und das Portal (inkl. Auth&Auth) setzen Log4j in den Versionen 1.x ein. Die in diesen Log4j Versionen angreifbaren Konfigurationen beziehungsweise erweiterten Funktionalitäten von Log4J werden in diesen Modulen nicht verwendet.
Wir empfehlen den Anwendern der entsprechenden Module Stelllungnahmen (TÖB), Kontaktstammdaten sowie des Störungsinformationstools dringend, diese durch die aktuellen Versionen zu ersetzen, die bei der Eclipse als Quellcode hinterlegt sind. Auch wenn die openKONSEQUENZ-Module nun nicht mehr selbst von dem Problem betroffen sind, sollte durch die Betreiber beachtet werden, dass die zur Verfügung stellende Infrastruktur (wie Web-Server / Web-Container) von der Log4j-Problematik betroffen sein könnte.
Für die Demo-Umgebung hat die PTA diese Untersuchung abgeschlossen und es sind keine weiteren Bedrohungen bekannt. Die betroffenen openKONSEQUENZ-Module wurden aus den aktualisierten Quellen neu eingespielt und die Demo-Umgebung ist wieder erreichbar.
