Das Nationale Zentrum für Cybersicherheit (NCSC) publizierte anfangs Woche einen Bericht zu Log4j.
Dabei handelt es sich um eine Zero-Day-Lücke, in der weit verbreiteten Java-Bibliothek "Log4j" der Version 2.0 bis 2.14, welche anfangs letzter Woche bekannt wurde.
Diese Sicherheitslücke wird als kritisch eingestuft, da die Bibliothek in sehr vielen Java-Anwendungen eingebaut ist. Zudem erlaubt die Sicherheitslücke einem Angreifer, aus der Ferne einen beliebigen Code auszuführen («Remote Code Execution» - RCE). Die Sicherheitslücke wird bereits aktiv von Cyberkriminellen ausgenutzt, um verwundbare Systeme mit Schadsoftware zu infizieren.
Die Hürlimann Informatik nimmt die Thematik um Log4j sehr ernst und hatte umgehend mit einer Analyse begonnen. Gerne informieren wir Sie, dass die von uns betreuten Applikationen nicht betroffen sind:
HI Cloud
Die HI Cloud als Umgebung ist von der Sicherheitslücke nicht direkt betroffen. Die eingesetzten Software-Lösungen von Drittanbietern haben wir soweit wie möglich analysiert, mit den Lieferanten besprochen oder sind noch in Abklärung. Bis jetzt wurde kein Problem festgestellt. Natürlich werden wir Sie umgehend informieren, falls sich daran etwas ändert.
HISoft
- In unserer Java-basierten Branchenlösung HISoft wird Log4j nicht eingesetzt und stellt somit kein Problem dar.
- Swissdec als Zusatz zu HISoft setzt Log4j der Version 1.2 beim ViewGen ein. Diese Version ist von der Sicherheitslücke nicht betroffen. Es besteht kein umgehender Handlungsbedarf.
- Das Bundesamt für Statistik hat am 15.12.2021 informiert, dass in der von der Hürlimann Informatik eingesetzten Version des Sedex-Clients keine Massnahmen erforderlich sind.
Software
- Gemäss den bisherigen Abklärungen sind die eingesetzten Software-Lösungen, wie das Content Management System der Webseite und der Sitzungsdienst (SD) mit Ratsinfosystem (RIS) nicht von dieser Sicherheitslücke betroffen.
- Das lobodms ist keine Java-Applikation; Probleme konnten bisher keine festgestellt werden.
- Ebenso nicht betroffen ist das Reservationssystem. Die Bibliothek "Log4j" wird nicht eingesetzt.
In Bezug auf die Produkte der Hürlimann Informatik und Log4j gibt es aktuell keine Komplikationen, weshalb keine Massnahmen erforderlich sind. Gleichzeitig machen wir Sie darauf aufmerksam, dass Sie allenfalls weitere externe Programme mit dem jeweiligen Lieferanten prüfen sollten.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.