Die HAN Knowledgebase

NetMan5.NDM NetMan5.Enterprise NetMan5 NetMan HAN.V5 HAN.V4 HAN.V3

log4j-Scan findet (potentielle) Gefahrenquellen in NetMan und HAN Verzeichnissen

Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor der log4j Bibliothek (Warnstufe Rot, d.h. die IT-Bedrohungslage wird als extrem kritisch bewertet). Scanner nach dieser Gefahrenquelle können in H+H Produkten fündig werden. Welche Gefahr kann von diesen Dateien ausgehen?

Die genaue Warnung des BSI finden Sie hier: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)

Die Dateien werden vom NetMan Webserver im Downloadverzeichnis bereitgestellt:

Die Dateien werden nicht (!) von unserem Webserver verwendet und stellen folglich keine Gefahr für Ihr Netzwerk dar, da sie nicht remote aktiviert werden können.

Die Dateien können lediglich auf einen Client heruntergeladen werden. Als Dateien sind sie Bestandteil eines veralteten Java-Client. Dieser Client wird weder benötigt noch wird er von einem unserer Kunden verwendet.

Die gefundenen Dateien sind ältere Versionen (V 1.2.x) als die, vor denen das BSI warnt (V2.0 bis 2.14.1).  

Sie können die Dateien löschen. Im aktuellen Setup sind diese Dateien nicht mehr vorhanden.

Weiterhin kann ein Scan Java-Bibliotheken identifizieren, die im Statistikverzeichnis von NetMan und HAN liegen: ..\WEB-INF\lib\datanucleus-core-1.1.5.jar und datanucleus-core-1.1.5.jar

In den JAR-Dateien wird auf Log4JLogger.class verwiesen. Diese verweist direkt auf log4j Version 1.2, die von dem Problem nicht betroffen ist.