Der Service Provider Member PTA hat als Plattform-Maintainer die aktuell vom BSI bekannt gegebene Log4j Problematik in den openKONSEQUENZ Modulen untersucht und bereinigt.
In allen betroffenen Modulen wurde Log4j auf die aktuelle Version 2.16 angehoben, in welcher das Problem beseitigt ist. Folgende Auflistung zeigt den Stand der Module:
- Betriebstagebuch: nicht betroffen
- Bereitschaftsplanung: nicht betroffen
- Portal (inkl. Auth&Auth): nicht betroffen
- Stellungnahmen (TÖB): Fixed
- Kontaktstammdaten: Fixed
- Störungsinformationstool: Fixed
Die nicht betroffenen Module Betriebstagebuch, Bereitschaftsplanung und das Portal (inkl. Auth&Auth) setzen Log4j in den Versionen 1.x ein. Die in diesen Log4j Versionen angreifbaren Konfigurationen beziehungsweise erweiterten Funktionalitäten von Log4J werden in diesen Modulen nicht verwendet.
Wir empfehlen den Anwendern der entsprechenden Module Stelllungnahmen (TÖB), Kontaktstammdaten sowie des Störungsinformationstools dringend, diese durch die aktuellen Versionen zu ersetzen, die bei der Eclipse als Quellcode hinterlegt sind. Auch wenn die openKONSEQUENZ-Module nun nicht mehr selbst von dem Problem betroffen sind, sollte durch die Betreiber beachtet werden, dass die zur Verfügung stellende Infrastruktur (wie Web-Server / Web-Container) von der Log4j-Problematik betroffen sein könnte.
Für die Demo-Umgebung hat die PTA diese Untersuchung abgeschlossen und es sind keine weiteren Bedrohungen bekannt. Die betroffenen openKONSEQUENZ-Module wurden aus den aktualisierten Quellen neu eingespielt und die Demo-Umgebung ist wieder erreichbar.
