Skip to Content

Registrieren Anmelden

Industry Online Support

Technical Forum

Navigation

Apache Log4j bei LOGO! Produkten

Erstellt von: LOGO! Support am: 15.12.2021 10:58 (6 Antworten)

Bewertung (0)

Dank 2

7 Einträge

15.12.2021 10:58	Bewerten (0)
LOGO! Support Gold-Experte Beigetreten: 19.09.2018 Letzter Bes: 05.06.2023 Beiträge: 335 Bewertung: (40)	Ich habe gute Nachrichten: 1) LOGO! Soft Comfort (alle Versionen) ist nicht betroffen. 2) LOGO! Web Editor (LWE) selbst (ohne cloud) ist nicht betroffen. 3) LWE Projekt auf der Cloud beinhaltet "log4j", nutzt jedoch keine "log4j" Funktion. Es gibt einen Workaround, siehe Anhang. 4) Kein LOGO! Hardware Modul ist betroffen. Dateianhang Apache Log4j Vulnerability Mitigation.doc (122 Downloads)

Vorschlag Bedanken Zitat Antwort
Für diesen Beitrag bedanken sich 1 Benutzer AutoGen_380038

15.12.2021 12:34	Bewerten (0)
ixo65 Großmeister-Experte Beigetreten: 18.12.2014 Letzter Bes: 06.06.2023 Beiträge: 29989 Bewertung: (3728)	Siemens hat am 13.12.2021 ein CERT veröffentlicht: Google Translate übersetzt mir dies so: LOGO! Soft Comfort: Alle Versionen Derzeit ist keine Abhilfe verfügbar Nur LOGO! Webprojekte, die bereitgestellt werden für AWS ist möglicherweise von dieser Sicherheitsanfälligkeit betroffen. Während die Bibliothek nicht innerhalb der Standardeinstellungen verwendet wird Konfiguration kann es innerhalb eines Projekts verwendet werden. Zu Schwachstelle mindern, JVM-Parameter einstellen LOG4J_FORMAT_MSG_NO_LOOKUPS zu wahr im Abschnitt zur Umgebungskonfiguration des AWS Elastic Beanstalk-Konsole Ihrer AWS-Instanz. Siehe weitere Empfehlungen aus Abschnitt Problemumgehungen und Schadensbegrenzung
	Zuletzt bearbeitet von: ixo65 am: 12/15/2021 12:43:32
Vorschlag Bedanken Zitat Antwort
Für diesen Beitrag bedanken sich 1 Benutzer AutoGen_380038

16.12.2021 11:08	Bewerten (0)
LOGO! Support Gold-Experte Beigetreten: 19.09.2018 Letzter Bes: 05.06.2023 Beiträge: 335 Bewertung: (40)	Meine Info habe ich von der Entwicklung. Ansonsten ist es bei CERT unklarer formuliert. Und für den einzig relevanten Fall (AWS), finde ich bei CERT nicht die Lösung (siehe meinen Anhang an meiner 1. Nachricht). Deshalb ist man mit meinem Statement besser aufgehoben.

Vorschlag Bedanken Zitat Antwort

16.12.2021 13:17	Bewerten (0)
ixo65 Großmeister-Experte Beigetreten: 18.12.2014 Letzter Bes: 06.06.2023 Beiträge: 29989 Bewertung: (3728)	Dann sollte man sich mit der "Schwesterabteilung" in Verbindung setzen und das CERT dementsprechend verfassen lassen, dass Siemens eine Sprache spricht.

Vorschlag Bedanken Zitat Antwort

17.12.2021 06:56	Bewerten (0)
AutoGen_380038 Silber-Mitglied Beigetreten: 11.09.2014 Letzter Bes: 02.06.2023 Beiträge: 616 Bewertung: (24)	Servus, Aus meiner Sicht viel Rauch um nichts. Der Vulnerability wird ständig aktualisiert und LOGO! ist nicht betroffen. Siehe Bild Das solche Meldungen für mich unverständlich sind kann ich nachvollziehen. Das ist eben die Ausdrucksweise in der Security Welt. Und die Security-Leute müssen das verstehen um evtl. Lücken zu schließen. Zur Not kann man die Security-Leute ja auch fragen damit die das erklären. Dateianhang Vul_Fast4j_logo.jpg (112 Downloads)

Vorschlag Bedanken Zitat Antwort

17.12.2021 07:17	Bewerten (0)
ixo65 Großmeister-Experte Beigetreten: 18.12.2014 Letzter Bes: 06.06.2023 Beiträge: 29989 Bewertung: (3728)	AutoGen_380038 Servus, Aus meiner Sicht viel Rauch um nichts. Der Vulnerability wird ständig aktualisiert und LOGO! ist nicht betroffen. Siehe Bild Das solche Meldungen für mich unverständlich sind kann ich nachvollziehen. Das ist eben die Ausdrucksweise in der Security Welt. Und die Security-Leute müssen das verstehen um evtl. Lücken zu schließen. Zur Not kann man die Security-Leute ja auch fragen damit die das erklären. Jetzt stellst du es aber mal wieder Siemens freundlich dar. In dem heutigen Update der CERT steht erst dass die LOGO! doch nicht betroffen ist und irrtümlich in den vorherigen Versionen als betroffen aufgeführt wurde. Und wenn in der CERT betroffen steht wie in den ersten CERTs, dann soll ich es nicht ernst nehmen?

Vorschlag Bedanken Zitat Antwort

17.12.2021 13:03	Bewerten (0)
Jen_Moderator Moderator Beigetreten: 19.06.2017 Letzter Bes: 06.06.2023 Beiträge: 6942 Bewertung: (138)	Liebe LOGO!-Community, hallo ixo65, danke, dass Ihr - so wie auch wir - das Thema ernst nehmt. Wir haben die Bestätigung vom Produktmanagement CERT erhalten, dass LOGO!-Soft zwischenzeitlich nicht mehr in den Listen steht: Produktmanagement CERT Nach Rückfrage konnten wir klar stellen, dass LOGO! Soft Comfort auch im beschriebenen Use-Case nicht betroffen ist und wurde aus dem Advisory entfernt. Die Meldungen zu beobachten ist immer ratsam, danke an alle, die sich bemüht haben das Thema zu klären! Viele Grüße, Jen_Moderator
	My Forum is the place to personalize your profile, track your topics, and maintain content that interests you. Best regards Jen_Moderator
Vorschlag Bedanken Zitat Antwort

|

Teile diese Seite:

Teile diese Seite auf...

Verwandte Themen nach Schlüsselwörtern:

Folgen Sie uns auf