Thema "Log4j Schwachstelle" in Freie Themen

Log4j Schwachstelle

Christian_Buggisch — Mon, 20 Dec 2021 10:04:31 GMT

Bitte beachten:

Zentrale Informationen von DATEV zum Thema Log4j Schwachstelle finden Sie hier im Hilfe-Center .

Die Seite wird regelmäßig aktualisiert.

Update Montag 20.12.2021 (Stefanie Herold)

Die Lage bleibt weiterhin dynamisch und wir sind rund um die Uhr an allen Entwicklungen dran.
Ab heute 14:00 Uhr (Montag 20.12.) stehen aktualisierte Hotfixes bereit.

Wie am Samstag bereits berichtet, werden die DATEV Cloud-Anwendungen permanent den neuen Gegebenheiten angepasst.

Für die lokal installierten DATEV-Anwendungen haben wir bereits letzte Woche am Dienstagabend erste Sicherheitsupdates veröffentlicht, die die Version 2.15 der verwundbaren Java-Komponente Log4J enthalten. Grundsätzlich gelten Client-Umgebungen nach wie vor als nicht direkt angreifbar. Bei Mail-Attachments ist aber auch hier wie immer Vorsicht geboten.

Aufgrund der dynamischen Lage stellen wir Ihnen heute voraussichtlich ab 14:00 Uhr (Montag 20.12.) nochmal folgende aktualisierte Hotfixes und Downloads zur Verfügung, die die jetzt aktuelle Version 2.17 von Log4J enthalten.

Hotfix B0001429-01530
Hotfix B0001429-01760
Hotfix B0001429-01930
Download DATEV Mittelstand 2021 - Servicerelease (ab 18:15 Uhr)
Download Jasper Reports V. 1.53 für Lohn und Gehalt compact V. 11.6x (ab 18:15 Uhr)

Die Installation wird von DATEV empfohlen.

Die Jahreswechsel-Versionen ab 30.12. enthalten dann ebenfalls die aktuelle Version.

Keine Aktualisierung für Anwaltspostfach
Für das Anwaltspostfach gibt es leider noch keinen Ausblick, da wir hier auf die Zulieferung der Bundesanwaltskammer angewiesen sind. Wir stehen dazu weiterhin in engem Kontakt.

Update Samstag 18.12.2021 (Stefanie Herold)

Wir kennen, prüfen und bewerten weiterhin rund um die Uhr alle bekannten und neuen Angriffsvektoren.
Bisher gibt es keine Anhaltspunkte, die Auswirkung auf die bisherige Bewertung für lokal installierte Anwendungen haben.
Die DATEV Cloud-Anwendungen sind natürlich per se stärker gefährdet und stehen deshalb auch besonders im Fokus. Nach aktueller Erkenntnis sind alle DATEV Cloud-Anwendungen auf einem sicheren Stand und werden laufend weiter aktualisiert. Derzeit findet bereits Updates auf die Version 2.17 statt.

In dem Fall, dass wir für Anwendungen die Sicherheit nicht mehr sicherstellen können, werden wir auch Anwendungen präventiv vorübergehend abschalten.
Darüber hinaus lassen wir unsere Sicherheitssysteme aktuell zusätzlich laufend von externen Sicherheitsexperten über alle Angriffsvektoren penetrieren und testen sie damit auf ihre Stabilität und Robustheit.

Ein “Überspringen” aus den Cloud-Anwendungen auf Client-Systeme ist nach unserer Einschätzung derzeit nicht möglich.

Log4-J Schwachstelle

Hoas — Sun, 12 Dec 2021 19:19:15 GMT

Log4-J:

Noch nichts in der Community hierzu gefunden...😳

Sind wir alle safe?

Hat Datev gar keine Probleme mit der Schwachstelle?

Was sagen denn die Systemadministratoren hier zu dem Thema?

Oder sind wir alle schon kompromittiert?🤐

Schönen Sonntag Abend. (hoffentlich können wir morgen alle arbeiten...😉

Log4-J Schwachstelle

Maranga — Mon, 13 Dec 2021 05:55:30 GMT

Wie sieht's denn aus? Inwieweit sind die Telearbeitsplätze oder überhaupt die Datev betroffen?

Log4-J Schwachstelle

Christian_Buggisch — Mon, 13 Dec 2021 08:20:34 GMT

Hallo zusammen,

Hintergrund für alle, die vielleicht nicht so tief im Thema sind: Seit Freitag, dem 10. Dezember 2021, ist eine hochkritische Schwachstelle (Log4Shell) bekannt, die zu einer extremen Bedrohungslage im Internet führt.

Auch DATEV setzt die verwundbare Softwarekomponenten (log4j) ein und ist damit potenziell betroffen. Mit Bekanntwerden der Schwachstelle haben die beteiligten Fachabteilungen auch über das Wochenende an Analyse und Bewertung der Sachlage gearbeitet. Es liegen keine Hinweise vor, dass DATEV über die Lücke angegriffen oder gar gehackt wurde.

DATEV hat umgehend zusätzliche Sicherheitsmaßnahmen umgesetzt und intensiv an der Aktualisierung der betroffenen Software gearbeitet. Gerade bei öffentlich zugänglichen Servern wurden die Empfehlungen des BSI sofort umgesetzt, um diese gegen die Angriffsmethode zu schützen.

Die weitere Entwicklung wird intensiv rund um die Uhr beobachtet, entsprechende Prüfungen werden durchgeführt und Sicherheitspatches eingespielt.

Es wird dringend empfohlen, dass auch in den Kanzleien alle für die hochkritische Schwachstelle bereitgestellten Sicherheitspatches von Herstellern zeitnah eingespielt werden, um sich bestmöglich zu schützen.

Log4-J Schwachstelle

JDauen — Mon, 13 Dec 2021 11:13:12 GMT

Hallo Herr Buggisch,

unsere Kanzlei setzt DATEV-ASP ein. Sind wir entsprechend Ihres nachstehendes Hinweises auch noch in der Pflicht Sicherheitspatches einzuspielen?

Ich beziehe mich auf Ihren nachfolgenden Hinweis:

"Es wird dringend empfohlen, dass auch in den Kanzleien alle für die hochkritische Schwachstelle bereitgestellten Sicherheitspatches von Herstellern zeitnah eingespielt werden, um sich bestmöglich zu schützen."

Vielen Dank und freundliche Grüße

Jens Dauen

Log4-J Schwachstelle

DoktorKracherl — Mon, 13 Dec 2021 12:22:45 GMT

Guten Herr Buggisch.

Auf jeden Fall Danke dass Sie hier uns schon einmal ein paar Informationen zukommen lassen.

Ein offizielles Statement von DATEV mit ein paar Hintergrundinformationen wäre natürlich sehr hilfreich, vor allem wo in der Infrastruktur von DATEV die Log4 Bibliothek zum Einsatz kommt.

Sollte es sich dabei um die Clientinstallationen handeln würden wir das natürlich gerne wissen (Wie Herr Dauen auch schon angesprochen hat) um die betroffenen System evtl. vom Netz zu nehmen oder Sicherheitsupdates einzuspielen (Wenn von DATEV welche verteilt werden sollten).

Gruß

Log4-J Schwachstelle

Christian_Buggisch — Mon, 13 Dec 2021 12:43:24 GMT

Herr Dauen,

für die DATEVasp Umgebung müssen Sie nichts tun. Sobald uns entsprechende Sicherheits-Updates vorliegen, werden diese für Sie eingespielt.

@all Falls Sie PARTNERasp einsetzen, wenden Sie sich bitte an Ihren Systempartner.

Log4-J Schwachstelle

metalposaunist — Mon, 13 Dec 2021 13:59:54 GMT

@JDauen schrieb:
Sind wir entsprechend Ihres nachstehendes Hinweises auch noch in der Pflicht Sicherheitspatches einzuspielen?

Ja, wenn außerhalb der DATEVasp Umgebung noch Software / Hardware existiert, die die Schwachstelle inne hat: z.B. Webex und WLAN Accesspoints von UniFi. DATEV kümmert sich nur um DATEVasp und den DATEVasp Router. Alle weiteren Arbeiten sind selbst auszuführen, wenn man keine andere Vereinbarung mit DATEV hat.

@Christian_Buggisch: Wie sieht das mit den > 200 DATEV Partnern aus? Wird es da eine zentrale Kommunikation geben oder muss jeder selbst an den Partner herantreten? In meinem Fall speziell ingentis.

Log4-J Schwachstelle

Christian_Buggisch — Mon, 13 Dec 2021 14:26:17 GMT

Hallo DK,

für einige betroffene Komponenten arbeiten wir intensiv daran, kurzfristig Hotfixes zur Verfügung zu stellen. Die müssten dann natürlich zeitnah eingespielt werden. Eine Kommunikation dazu erfolgt auf den üblichen Wegen.

Log4-J Schwachstelle

fkappen — Mon, 13 Dec 2021 15:14:24 GMT

Hallo Herr Buggisch,

können Sie uns eine Übersicht der betroffenen Komponenten zur Verfügung stellen?

Vielen Dank

Log4-J Schwachstelle

Bazinga — Mon, 13 Dec 2021 16:12:15 GMT

Was "einige Komponenten"?

Datev On Premises betroffen [ ] ja [ ] nein [ ] vielleicht

Und was ist mit den Arbeitsstationen?

Arbeitsstationen betroffen [ ] Ja [ ] nein [ ] vielleicht

Und was sind die "üblichen wege"? Dass Datev betroffen ist, habe ich erst durch zielgerichtetes Nachfragen beim Support erfahren. Weil ich das hier gefunden habe: https://www.datev.de/zrrgup/license/show.do. Da steht, dass Datev log4j-api-2.14.1.jar nutzt. Nur eben nicht wo genau!

Der Supportmitarbeiter wollte gar nichts dazu sagen, weil "weil keine offiziellen Infos von Datev" und hat dann auf diese "Datev-Community" verwiesen!

BSI sagt Server mit Sicherheitslücke patchen oder abschalten. Systeme mit Lücke sind angreifbar. Das müsst ihr kommunizieren - auch wenn noch kein Patch fertig ist.

Log4-J Schwachstelle

SchmittEDV — Mon, 13 Dec 2021 16:17:20 GMT

Hallo Zusammen,

wie setzen u.a. bei uns lokal Datev Belegtransfer ein und dort wird die .NET Bibliothek "Log4net.dll" in der Version 2.11.0 der Apache Software Foundation verwendet. Unseres Wissens nach enthält diese DLL die vollständigen Log4j-Funktionalitäten. Stellt der Einsatz dieser DLL in Verbindung mit Datev Belegtransfer für uns ein Sicherheitsrisiko dar bzw. wann ist mit einem Update Ihrerseits zu rechnen?

Herzlichen Dank

Log4-J Schwachstelle

Steuererklärer — Mon, 13 Dec 2021 16:23:08 GMT

arbeiten wir intensiv daran, kurzfristig Hotfixes zur Verfügung zu stellen. Die müssten dann natürlich zeitnah eingespielt werden.

Ich wundere mich über die Gelassenheit. Die Lücke ist seit Freitag letzter Woche öffentlich bekannt. Das BSI hat Warnstufe Rot ausgegeben. Jetzt muß ich einmal das beA loben: seit Sonntag gefixt. Also: hoffentlich. 🤗

Log4-J Schwachstelle

thomaslauer — Mon, 13 Dec 2021 16:26:41 GMT

Die ersten Tools für den Scan sind entwickelt mehr unter

glshnu/rmm-yara4Log4j: a datto component to scan for the log4j vulnerability with yara (github.com)

Log4-J Schwachstelle

Bazinga — Mon, 13 Dec 2021 16:46:55 GMT

Und da steht:
"!!! i cannot say yet if logpresso is a trusted source !!!"

Viel Spaß. Eine nicht ausreichend geprüfte Log4J-Lücke mit einem nicht ausreichend geprüften Scanner prüfen...

CVE-2021-44228 <- Auf das Google auf diese Seite verlinkt. Denn von Datev gibt es ja nichts offizielles!

P.S.: BSI: Da eine Ausnutzung nicht zwingend ein Nachladen von Schadcode aus dem Internet benötigt, sondern bereits mit einer einzigen Anfrage möglich ist, muss für alle verwundbaren Systeme die Angriffsfläche reduziert werden. Konkrete Schritte hierzu sind:
• Nicht zwingend benötigte Systeme abschalten. <--

BSI Update 4:

<< Zusätzlich zu der Installation von Kryptominern und der Ausnutzung durch Botnetze gibt es auch öffentliche Berichte, die auf das Nachladen von Cobalt Strike-Beacons hinweisen.

Cobalt Strike ist eine Pen-Testing-Software, die auch von

Angreifern genutzt wird, um Angriffe auf IT-Netzwerke durchzuführen.

Die Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Offenlegung von vertraulichen Daten (z. B. API-Keys).

Hierfür ist kein Nachladen von externer Schadsoftware notwendig, sodass diese Ausnutzung mit einer Anfrage durchgeführt werden kann. >>

Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

WENN Datev eine Schwachstelle hat, dann läßt uns DATEV hier seit Tagen im Dunklen und bastelt an einem Patch - während das oben vom BSI genannte passiert! Ich hoffe es ist nicht so!

Log4-J Schwachstelle

Christian_Buggisch — Mon, 13 Dec 2021 16:47:36 GMT

Hallo zusammen,

vielen Dank für Ihre Fragen, auch zu einzelnen Anwendungen, die ich gut nachvollziehen kann. Ein Expertenstab bei DATEV ist rund um die Uhr damit beschäftigt, die Systeme zu sichern. So wurden wie oben schon geschrieben bei öffentlich zugänglichen Servern die Empfehlungen des BSI umgehend umgesetzt. Weitere Maßnahmen laufen. Wir bitten aber um Verständnis, dass wir uns während solcher sicherheitsrelevanter Arbeiten aus naheliegenden Gründen weder zu den Maßnahmen allgemein noch zu einzelnen Komponenten äußern. Generell lässt sich sagen, dass bei standardmäßiger Installation von DATEV on premises Anwendungen kein erhöhtes Risiko ausgeht. Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten.

Log4-J Schwachstelle

rganter — Mon, 13 Dec 2021 16:51:51 GMT

Ja, selbe Aussage von zig Hard- / Softwareherstellern. Wir haben ein Problem und wir arbeiten dran.... Updates sollen zeitnah installiert werden.

Problem: Woher soll ich wissen, welche Hard- Software betroffen ist? Ich habe diese nur installiert, nicht programmiert.

Und die BSI Empfehlung "nicht gepatched Systeme von Netz nehmen".. Soll ich meine Kunden in den Lockdown schicken? Weltfremd 🙄

Und die Homeoffice-PCs? Puh. bin bedient.

DATEV:

Bei mir auf dem PC wurden nach einem Test 2 DATEV-Einträge angezeigt.

c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar

beA;

Verwendet in der neuen Version noch die Version log4j-core-2.14.1.jar (anfällig). Gibt aber ein Workaround, vielleicht haben sie diesen angewendet.

Falls ich ich nicht mehr melden kann "schöne Weihnachten" an die Forumsuser.....

Log4-J Schwachstelle

Bazinga — Mon, 13 Dec 2021 17:08:37 GMT

Ein Nutzer hier schreibt, dass zwei Dateien bei ihm gefunden wurden:
<<c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar>>

Letzteres scheint mir gar nicht gut. Kenne mich aber zu wenig aus.

Sie schreiben: "Generell" kein "erhöhtes Risiko" umd dann nachzuschieben: "Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten."

Hotfixes ... *umgehend*. Wo doch "generell" gar nichts ist. Ist mir zu schwammig.

Mein Datev-Server ist jetzt erstmal im Lockdown. Hoffentlich nicht zu spät.

Log4-J Schwachstelle

JDauen — Mon, 13 Dec 2021 19:16:42 GMT

Vielen Dank für die Antworten und auch für den Hinweis, dass wir den "bösen Jungs" nicht auch noch mitteilen sollten, wo eventuelle Probleme bestehen, ist wohl auch richtig....

Log4-J Schwachstelle

Bazinga — Mon, 13 Dec 2021 19:38:35 GMT

Die bösen Jungs setzen den Fuß in die Tür, scannen die Umgebung, finden die Lücke, nutzen sie.

Es ist längst bekannt wie man die Lücke nutzen kann - und wie einfach das ist.

Deshalb macht es auch keinen Sinn da etwas seitens Datev zu verheimlichen. Ganz im Gegenteil.

Andere Hersteller wie VMWare, Cisco etc. haben von Anfang an veröffentlicht was Sache ist.
Betroffene und nicht betroffene Produkte aufgelistet. Um die Kunden zu schützen, ihnen die Möglichkeit zu geben zu handeln.

Log4-J Schwachstelle

Gelöschter Nutzer — Mon, 13 Dec 2021 20:08:38 GMT

was heisst das eigentlich im klartext, wenn wir datevnet nutzen?

so langsam erscheint es mir, als würde die datev selbst angegriffen werden können und nicht (direkt) wir.

den mailserver habe ich "gehärtet"... liegt aber zusätzlich hinter datevnet.

der webserver liegt extern..

was für hotfixes kommen? für den datevnet router oder welche komponenten?

mcafee steht auch auf der github-liste.. deinstallieren?

veeam steht drauf.. acronis irgendwo unten drunter. solarwinds.. was auch sonst.

Log4-J Schwachstelle

rgeiler — Mon, 13 Dec 2021 21:21:52 GMT

@Gelöschter Nutzer

Hallo und guten Abend,

könnten Sie bitte den Link zur Liste preisgeben. Das hilft sicherlich nicht nur mir. Danke!

Freundliche Grüße

R. Geiler

Log4-J Schwachstelle

metalposaunist — Mon, 13 Dec 2021 22:20:16 GMT

@rgeiler schrieb:
könnten Sie bitte den Link zur Liste preisgeben.

Diese bei GitHub? Oder diese? Sonst zum Nachlesen:

0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter

Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek

Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen

Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht

Ob uns Endanwender das so sehr tangiert, weiß ich nicht genau. Es liest sich eher nach einem größeren Problem bei den großen Anbietern wie facebook, Microsoft, twitter und Co. Ja, auch die lokale Hardware muss man patchen, sofern möglich aber wenn die Lücke so gut ausnutzbar wäre, wäre längst mehr passiert. Das haben die Exchange Lücken im März gezeigt, als deutlich mehr Schaden angerichtet wurde als es noch gar keine Patches von Microsoft gab. Wenn seit FR bisher noch keine Meldung über eine größere Übernahme erfolgte, finde ich das schon komisch.

Als Anwender kann man da aktuell nicht viel anderes tun, als abzuwarten, beim Hersteller nachzufragen und ankommende Patches schnellstmöglich zu installieren. Die gute Nachricht ist, dass Endanwender nicht im Fokus stehen. Das Problem betrifft vorrangig die Betreiber von Diensten und IT-Infrastruktur.

Also abwarten. Wir haben bei DATEV nachgefragt und DATEV stellt Hotfixe / Updates bereit.

Ebenso war der Aufschrei durch die PrintNightmare Lücke meiner Meinung nach größer als Schaden entstanden ist. Auch das Problem ist meiner Meinung nach nie wirklich zu 100% final gelöst worden. Um die Lücke ist es aber ruhig geworden.

Keep cool 😎 und keine Panik schieben. Die nächste noch unbekannte Lücke kommt. Ganz bestimmt 😉.

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 06:48:39 GMT

@metalposaunist

anders als printnightmare soll die lücke bereits grossflächig ausgenutzt werden.

wenn einfache zeichenfolgen ausreichen um schadecode zu laden ohne irgendwo aus dem netz nachzuladen.. ja, dann ist das schon ein anderes kaliber als printnightmare.

Log4-J Schwachstelle

ulrichwurst — Tue, 14 Dec 2021 07:14:09 GMT

@Gelöschter Nutzer schrieb:

wenn einfache zeichenfolgen ausreichen um schadecode zu laden ohne irgendwo aus dem netz nachzuladen.. ja, dann ist das schon ein anderes kaliber als printnightmare.

Die Lücke ist nicht notwendigerweise ausnutzbar:

1. ein Datevserver ist sicher nicht aus dem Internet erreichbar - bleiben Angriffe aus dem lokalen Netz

2. ein Datevserver hat nicht notwendigerweise einen aus dem Netzwerk erreichbaren Dienst laufen der irgendwelche User-Eingaben per log4j protokolliert, einzig das Ausgabesystem (und beA) scheinen log4j zu verwenden - bleiben lokale Angreifer auf dem Datev-Terminalserver

3. unter der Annahme dass keine Bestandteile des Ausgabesystems das jasper verwendet unter einem Systemdienst läuft kann ein authentifizierter Anwender des Datev-Terminalserver möglicherweise diese Lücke ausführen falls er in der Lage ist den durch log4j protokollierten Datensatz überhaupt passend zu manipulieren und kann dann was? Code im eigenen Context ausführen. Toll - das kann er meistens auch so...

auf einem Onpremise-Datev-Server sehe ich nach aktuellem Kenntnissstand die Gefahrenlage unkritisch. Daran könnte nur ändern:

jasper oder beA (oder andere Teile die log4j verwenden) laufen in einem priviligierten Kontext wie localsystem -> local priviledge escalation

oder: ein Netzwerkdienst (dann vermutlich im Bereich Datev Framework Libraries) greift auf log4j zurück -> remote code execution

aber selbst in diesem Fall wäre der Angriff sicher nur aus dem lokalen Netz ausführbar und eine ganz andere Bedrohungslage als die ganzen von dieser Lücke betroffenen Dienste auf irgendwelchen Webservern o.ä.

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 07:30:07 GMT

@ulrichwurst

im lokalen netz ist man u.u. schnell, wenn die kaffeemaschine via app aus dem urlaub steuerbar ist.

Log4-J Schwachstelle

vogtsburger — Tue, 14 Dec 2021 07:37:05 GMT

... mal ganz naiv gefragt:

... lässt sich das betreffende Protokoll, ein spezieller Services beenden, ein gefährlicher Port schließen, vorsorglich

... und wenn ja, ist dann kein produktives Arbeiten mehr möglich oder könnte man temporär auf einzelne Möglichkeiten verzichten oder Alternativen nutzen ?

Beispiel:

wenn die Backupsoftware betroffen wäre, könnte man evtl. andere Möglichkeiten der Datensicherung nutzen etc.

... wie gesagt, naiv gefragt, aus der Sicht von 'Klein Erna' ...

Log4-J Schwachstelle

frankie34 — Tue, 14 Dec 2021 07:37:26 GMT

Wer weiß wer weiß...

wieso bringt die Brak am Wochenende ein beA-Update für den Client heraus?

Auch der Client ist ja vom Netz nicht erreichbar.

Die Datev greift auf die selben beA-Librarys zu, stellt diese aber in einem eigenen Programmverzeichnis bereit.. warum auch immer man nicht auf den installierten Client zugreift..

Das ist dann wieder sicher?

Dann sollten die Hofixes aber so schnell wie möglich installiert werden,.. wenn es doch kein Problem gibt..

Alles sehr fragwürdig in Moment.

Log4-J Schwachstelle

Christian_Buggisch — Tue, 14 Dec 2021 07:45:56 GMT

Guten Morgen,

vielen Dank für Ihre Fragen und Beiträge!

Wir erstellen zurzeit ein zentrales Hilfe-Dokument mit Empfehlungen, was Sie tun können und sollten (und was nicht) sowie Terminen für die Hotfixes von DATEV. Wir hoffen damit, Nutzern auch über die Community hinaus Hilfestellung zum Umgang mit der Log4-J Schwachstelle zu geben.

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 08:40:23 GMT

@frankie34

wo findet man das bea-Update?

Log4-J Schwachstelle

janm — Tue, 14 Dec 2021 08:33:49 GMT

Hier: https://portal.beasupport.de/external/c/aktuelles

11.12.2021
Log4Shell-Schwachstelle beseitigt
Am 10.12.2021 wurde vom BSI eine kritische Schwachstelle in einer Softwarekomponente gemeldet, welche diverse Anwendungen, wie unter anderem auch beA-Komponenten, betrifft. Die Schwachstelle konnte in allen beA-Komponenten schnellstmöglich beseitigt werden. Mit einem Update wurde ein konfigurierbarer java_opts Parameter "-Dlog4j2.formatMsgNoLookups=true!" ergänzt, welcher die Sicherheitslücke schließt.
Zur Nutzung des beA ist zwingend eine Aktualisierung auf die Version 3.9.0.7 nötig. Bitte aktualisieren Sie diese auch unabhängig davon, ob Sie diese gegenwärtig nutzen.
Hinweise zur Aktualisierung finden Sie hier.
Bilder sowie Anleitungen werden in unserem Supportportal zeitnah auf den neuesten Stand gebracht. Wir bitten aufgrund der Eiligkeit der Anpassung um Nachsicht.

Log4-J Schwachstelle

Bazinga — Tue, 14 Dec 2021 08:38:15 GMT

Weil Sie schreiben Veeam sei betroffen:

Quelle: https://www.veeam.com/kb4254

Impact on Veeam Software

Veeam products are not affected by this vulnerability.

Apache Logs4j is not in use by any Veeam products.

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 08:38:15 GMT

kommt der CrystalReportViewer auch von DATEV?

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 08:48:34 GMT

steht mit auf der github-liste.. geklickt habe ich nicht, war schon spät :-).

acronis ist auch nicht direkt betroffen.. patch kommt wohl trotzdem.

Log4-J Schwachstelle

Bazinga — Tue, 14 Dec 2021 08:52:22 GMT

Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.

Was passiert?

1. Log4Shell wird genutzt um ein winziges Programm zu installieren, was später unbemerkt code nachlädt.

2. Die Schadsoftware katalogisiert ihr Netzerk und sucht nach weiteren Lücken

3. Je nachdem was sich lohnt
3.1 Ihre Daten werden langsam, unbemerkt nach außen gesendet
3.2 Install Kryptominer
3.3 Sie versenden Spam
3.4 Ihr System wird verschlüsselt - im schlechtesten Fall inkl. Backupsystem (siehe Punkt 2)

4. Sie werden erpresst
4.1 Entschlüsseln der verschlüsselten Daten
4.2 Schutz vor Preisgabe ihrer in 3.1 entwendeten Daten

5. Je nachdem wie tief in ihr System eingedrungen wurde muß ihr System ggf. neu aufgesetzt werden. Es reicht ggf. nicht die Datensicherungen der letzten Woche einzuspielen. Je nachdem, wie sie aufgestellt sind. Ich rede hier von einem Vorfall in 1-2 Monaten. Von einem ersten Eindringen am 11.12.

Die Warnstufe ROT des BSI ist berechtigt und sollte nicht mit "bei Printnightmare ist auch nicht viel passiert" auf die leichte Schulter genommen werden.

Log4-J Schwachstelle

vogtsburger — Tue, 14 Dec 2021 09:06:20 GMT

... evtl. lässt sich ein Registry-Eintrag setzen oder ähnliche Schutzmaßnahmen, die den Klick auf Links oder das Öffnen von MS-Office-Dateien oder div. anderer E-Mail-Anlagen verhindert

(... habe bei mir schon vor einiger Zeit das Anklicken von Links in E-Mails blockiert ...)

... quasi eine mehrtägige Kanzlei-Quarantäne, bis sich der Nebel des Grauens lichtet

Log4-J Schwachstelle

metalposaunist — Tue, 14 Dec 2021 09:06:30 GMT

@Bazinga schrieb:
Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.

Und warum ist dann bis jetzt so wenig passiert? Liest sich ja noch einfacher als die Exchange Lücke. Da ist irgendwas faul. Da würde ich erwarten, dass viel mehr Schaden schon jetzt im Internet kursiert. Oder halten sich alle Betroffenen zusammen gemeinsam zurück und sind alle sprachlos?!

Log4-J Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 09:17:43 GMT

@metalposaunist

weil das taktisch unklug wäre?

große datenmengen würde ich abzapfen, wenn sich die chance ergibt und nicht alle gespannt auf logs schauen..

gerade ist die zeit zum platzieren der einfallstore.

Log4-J Schwachstelle

Bazinga — Tue, 14 Dec 2021 09:18:33 GMT

Bei uns hat ein - geschulter - Mitarbeiter in der Eile einen Link von Hand in den Browser eingefügt (weil er sich nicht anklicken lies).

--> Immer auch das scheinbar unmögliche einplanen.

Log4-J Schwachstelle

Bazinga — Tue, 14 Dec 2021 09:22:53 GMT

Das wird sehr oft nicht kommuniziert.

Ich kenne alleine 8 Fälle kompromitierter Exchangeserver im eigenen Umfeld. Keiner davon war in den Medien. Alles mittelgroße Mittelständische Unternehmen. Bei drei davon auch Ransomware.

Ich könnte ihnen jetzt einen großen Maschinenbauer nennen, bei dem die Maschinen von mehr als 100 Kunden verschlüsselt wurden. Davon war auch nichts in den Medien.

Kommt i.d.R. nur an die Öffentlichkeit, wenn es sich nicht vermeiden läßt.

Log4j Schwachstelle

Christian_Buggisch — Tue, 14 Dec 2021 14:18:02 GMT

Hallo zusammen,

das zentrale Dokument von DATEV zum Thema Log4j Schwachstelle finden Sie nun hier im Hilfe-Center .

Die Seite wird regelmäßig aktualisiert.

PS: Wir haben diese Info auch am Anfang des Threads hinterlegt, damit User, die neu hierher finden, nicht erst den ganzen Thread lesen müssen.

Log4j Schwachstelle

metalposaunist — Tue, 14 Dec 2021 15:19:13 GMT

Hotfixe lassen sich während der Arbeitszeit installieren und brauchen keinen Neustart. Das war mal eine Prüfungsfrage zum DATEV Techniker und der zentrale Unterschied zu Service Releasen.

Wie verhält es sich heute Abend ab 18:15: Neustart notwendig? Datenanpassung? Da fehlt die Information von DATEV.

Log4j Schwachstelle

frankie34 — Tue, 14 Dec 2021 15:44:59 GMT

Wird sich heute Abend rausstellen, nachdem es auch Hotfixes für den SQL-Server gibt....

Hotfix: B0000454-06210

Log4j Schwachstelle

metalposaunist — Tue, 14 Dec 2021 15:36:06 GMT

Mit STRG+SHIFT+V fügt man nur den reinen Text ein; ohne Formatierung 😊. Zumindest unter Windows. Unter macOS kann man sich dazu einen Shortcut bauen 😇.

Also mal einen Neustart einplanen. Danke!

Log4j Schwachstelle

Nutzer_8888 — Tue, 14 Dec 2021 15:39:21 GMT

Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!

Da kann man ja gestern nochmal draufschauen

Log4j Schwachstelle

Stefanie_Herold — Tue, 14 Dec 2021 15:45:06 GMT

@Nutzer_8888 schrieb:
Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!

Da kann man ja gestern nochmal draufschauen

Ist gegen 17:30 Uhr korrigiert und zusätzlich um allgemeine Handlungsempfehlungen ergänzt 👍

Viele Grüße

Log4j Schwachstelle

Christian_Buggisch — Tue, 14 Dec 2021 16:04:02 GMT

Hallo Daniel,

nur dieses Thema: Hotfix, kein Neustart, keine Datenanpassung. Aber ja, es kommt ja noch mehr, wie hier schon geschrieben wurde ...

Log4j Schwachstelle

Carsten_Groß — Tue, 14 Dec 2021 17:31:12 GMT

Hallo Community,

ich versuche etwas Licht in die beA-Fragestellungen zu bringen.

DATEV:
Bei mir auf dem PC wurden nach einem Test 2 DATEV-Einträge angezeigt.
c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar

beA;
Verwendet in der neuen Version noch die Version log4j-core-2.14.1.jar (anfällig). Gibt aber ein Workaround, vielleicht haben sie diesen angewendet.

Die log4j-Datei in dem Unterverzeichnis der K0005078 gehört zu der Schnittstelle, die die BRAK uns Softwareherstellern zur beA-Anbindung bereitgestellt hat.

Hier werden wir mit dem Hotfix von heute nur die JVM mit dem zusätzlichen Argument –Dlog4j2.formatMsgNoLookups=True starten; inhaltlich aber nichts an der Schnittstelle ändern. Hier warten wir auf Aktualisierung durch die BRAK.

Die zweite log4j-Datei gehört zur beA-Client Security, die Sie für eine Anschaltung an die Webseite benötigen. Hier die BRAK bereits am Sonntag eine aktualisierte Version bereitgestellt. Der Fix beschränkt sich meines Wissens aber auch dort zunächst auf das zusätzliche Argument beim Javastart.

Freundliche Grüße

Carsten Groß
Entwicklung DATEV Anwalt

Log4j Schwachstelle

rgeiler — Tue, 14 Dec 2021 17:47:00 GMT

Guten Abend Herr Buggisch,

hat die Bereitstellung der Hotfixes heute Abend 18.15 Uhr geklappt?

Noch sind keine aktuellen Infos ersichtlich.

Danke!

R.Geiler

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 17:45:35 GMT

@rgeiler

jop. ich installier grad.

was ist eigentlich mit den windows-updates? noch nicht im verträglichkeitstest oder schwitzen gerade alle woanders?

Log4j Schwachstelle

agmü — Tue, 14 Dec 2021 18:00:50 GMT

Hallo Herr Buggisch,

zunächst einmal ein Lob, die Hotfixes stehen wie angekündigt bereit;👍

aber: und jetzt kommt der Wehrmutstropfe👎n, der meinen Blutdruck steigen lässt:

Es wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!! Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt.

Oder wollen Sie mir ernsthaft erklären wollen, dass von Samstag Nacht bis heute Vormittag ein Entwicklung von Rechnungswesen Hotfix in dieser Datengröße geschrieben, getestet, geprüft und für die Auslieferung bereitgestellt wurde?

Nachdem die Installationsroutine ein nicht mehr kalkulierbares Risiko darstellt, bleibt mir und vielen anderen Anwendern also nur die Möglichkeit die Hotfixes manuell an jedem Rechner einzuspielen.

Nachtrag: Natürlich muss der Datentrafo angestoßen werden - natürlich finden sich auch dort noch immer Fehler. ich könnte k....

Log4j Schwachstelle

rgeiler — Tue, 14 Dec 2021 17:48:58 GMT

@Gelöschter Nutzer

Hallo!

Besten Dank für die Information.

Noch eine TelCo und dann werde ich dann auch mal loslegen.

Grüße!

R.Geiler

Log4j Schwachstelle

Stefanie_Herold — Tue, 14 Dec 2021 18:03:46 GMT

@agmü schrieb:
Es wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!! Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt.

Das Service-Release für Rechnungswesen enthält die Standarddaten für 2022 und war ebenfalls für heute angekündigt.

Wenn Sie wirklich nur die sicherheitsrelevanten Hotfixes installieren möchten, geht das über eine benutzerdefinierte Installation: Dokument 1071255

Log4j Schwachstelle

metalposaunist — Tue, 14 Dec 2021 18:28:50 GMT

@agmü: Jupp, heute kommen standardmäßig sowieso DATEV Service Release, damit man das WJ 2022 anlegen und eine Übernahme machen kann. Das hatte mit Log4j nichts zu tun. Von daher, danke 👍 DATEV , dass das zeitgleich passiert und wir nicht 2x ran müssen. Heute einmal alles installieren und man ist safe und aktuell zu gleich.

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 18:41:34 GMT

was kann man jetzt noch machen? ich hab gescannt, hersteller angeschrieben (auch schon antworten erhalten ;-), alles vom netz genommen was geht, deinstalliert, datev-updates sind drauf... fehlen eigentlich nur noch win-updates?

Log4j Schwachstelle

agmü — Tue, 14 Dec 2021 18:41:55 GMT

Sorry, das reguläre SR hatte ich nicht auf dem Schirm.

Daher: MEA CULPA, MEA MAXIMA CULPA.

Ein kurzer Hinweis im Hilfe-Dokument oder der Community hätte die Überraschung in Grenzen gehalten.

@Stefanie_Herold : nichts für ungut: nach fast 20 Jahren DATEV-Software weis ich mir zu helfen und kenne auch die Schwachstellen der Software (anderes Thema zu dem ich mich nicht mehr äußere und zu dem ich auch kein Feedback mehr gebe; da wurde in der Vergangenheit zu viel Vertrauen zerstört).

Log4j Schwachstelle

metalposaunist — Tue, 14 Dec 2021 18:57:31 GMT

@Gelöschter Nutzer schrieb:
was kann man jetzt noch machen?

Kerze 🕯 anzünden und beten 🙏? Oder Kaffee 🍵 machen und gespannt auf die nächste Lücke warten?

Oder aber zu empfehlen:

Und nein, keine Utopie ➡️ Wirklichkeit.

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 19:01:24 GMT

bea-client gibs auch wieder was neues.. dieses **bleep** tool von der schwerbehindertenabgabe (iw-elan) hat natürlich auch java im bauch..

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 19:12:41 GMT

ja.. da bin ich nicht ganz so pessimistisch ;-).

schlimmste lücke seit ewigkeiten? so der wortlaut.. den ich irgendwie nachvollziehen kann.

im scan findet er immer noch datev mit class missing new error message string literal

und BRAK Bea.. naja, wird schon passen

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 19:11:58 GMT

IW-Elan sollte aber kein Problem sein

https://www.iw-elan.de/news/Kritische-Schwachstelle-in-Java-Bibliothek/

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 14 Dec 2021 19:40:30 GMT

@Gelöschter Nutzer

hab ich auf die schnelle nicht gefunden. danke

dennoch hat mich die installation des iw elan noch nie gefreut, da java immer schon irgendwo anfällig war und ist und es dort so offensichtlich genutzt wird.

ich würd auch prüfen (lassen), ob nicht website, telefonanlage stempelmaschine.. what ever betroffen sind, sofern sie nicht sauber vom produktiven (datev)-netz getrennt sind

Log4j Schwachstelle

vogtsburger — Tue, 14 Dec 2021 21:21:54 GMT

@agmü ,

... hatte auch nicht mehr auf dem Schirm, dass heute zufällig auch die neuen Service-Release (Jahreswechsel-Versionen) zur Verfügung gestellt wurden

... konnte also "benutzerdefiniert" (selektiv) die Hotfixe abrufen, um mir nicht den Abend mit Datev-Installationen zu 'verderben'

... die netzweite Hotfix-Installation ist aber leider in letzter Zeit auch kein ungetrübtes Vergnügen mehr

... diesmal wollte auch wieder ein Viertel der Datev-Arbeitsplätze nicht automatisch aktualisieren, trotz manuellem Neustarten der betreffenden PCs und auch nicht nach manuellem Login als Administrator, auch nicht nach Wiederholung der netzweiten Hotfix-Installation.

Erst ein manuelles Starten der jeweiligen Hotfix-Arbeitsplatz-Installation führte zum Ziel.

... keine Ahnung, warum es in letzter Zeit immer ein paar Kandidaten unter den Clients im Client-Server-Netz gibt, die nicht wie die Lemminge dem Admin-PC hinterherlaufen (wollen).

Log4j Schwachstelle

zippo — Wed, 15 Dec 2021 06:43:37 GMT

Moin,

ich würde heute auch gern nur die Hotfixes gegen Log4j installieren. Weiß jemand, welche das sind? Die Info finde ich nicht.

Gruß aus Hamburg

Log4j Schwachstelle

Michael-Renz — Wed, 15 Dec 2021 06:44:19 GMT

Hallo Herr @vogtsburger ,

dass einer der Clients nicht mehr die netzweite Updateroutine mitmachen wollte, hatte ich auch.
Dabei habe ich festgestellt, dass dieser PC nicht mehr als „aktivierter Terminalclient“ erkannt wird. Wie es dazu kam, ist mir unerklärlich und lässt sich aus den Installationsprotokollen auch nicht nachvollziehen.
Ich habe ohne vorsichtshalber „platt gemacht“ und komplett neu aufgesetzt - seither wieder alles im Lot und er installiert auch wieder mit dem Netzauftrag.

Log4j Schwachstelle

agmü — Wed, 15 Dec 2021 06:43:52 GMT

@vogtsburger schrieb:
@agmü ,

... konnte also "benutzerdefiniert" (selektiv) die Hotfixe abrufen, um mir nicht den Abend mit Datev-Installationen zu 'verderben' ...
...

kann man so machen, wenn man mit Überraschungen rechnen muss und die Zeit übrig hat sich auch mit solchen "Problemen" zu beschäftigen; nicht aber, wenn eigentlich nur eine Sicherheitslücke gestopft werden soll und der Schreibtisch und Terminkalender mit - wie nannte es vor längerer Zeit schon einmal jemand - der Erwirtschaftung des Kostendeckungsbeitrag beschäftigt sein sollte.

Log4j Schwachstelle

Nils_Neuendorf — Wed, 15 Dec 2021 07:20:56 GMT

Hallo @zippo ,

hier finden sie die entsprechenden Hotfix-Beschreibungen. Vielleicht hilft Ihnen das weiter.

Log4j Schwachstelle

zippo — Wed, 15 Dec 2021 07:18:49 GMT

Herzlichen Dank!

Log4j Schwachstelle

halloeddi — Wed, 15 Dec 2021 07:40:26 GMT

Hallo,

ich brauche bei zwei Steuerbüros den Hotfix B0001429-01920 der wird mir da nicht angezeigt.

Gruß

Eddi

Log4j Schwachstelle

zippo — Wed, 15 Dec 2021 08:18:17 GMT

Moin,

für Jasper gibt es verschiedene Hotfixes. Es wird wohl nur das angezeigt, das zur installierten Version passt.

Leider ist das für das Anwaltspostfach nicht so. Da gibt es nur einen Patch für die 12.14.

Gruß aus Hamburg

Log4j Schwachstelle

vogtsburger — Wed, 15 Dec 2021 08:33:59 GMT

... ehrlich gesagt war mir gar nicht bewusst, dass Java immer noch in diversen Anwendungen eingesetzt wird, z.B. für die Druckausgabe

... früher gab es mit "HAUFE Steuer Office Kanzlei-Edition" öfter mal Zickenkrieg mit Java. aber bei Datev läuft mir Java nie über den Weg, jedenfalls nicht bei Tageslicht 😉

... deshalb hatte es mich überrascht, dass Java offenbar bei vielen Prozessen 'mitmischt'

.. gibt es noch andere 'gängige' Software-Produkte, die man unbedingt anfassen sollte ?

Nachtrag:

... kann man mit automatisch zur Verfügung gestellten Windows-Updates rechnen oder ist hier 'Handarbeit' gefragt ?

Log4j Schwachstelle

DanielHeinze — Wed, 15 Dec 2021 09:29:55 GMT

Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

Was können wir machen?

Executed Powershell script with output result: Max Threads: 5
= C:\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 09:32:15 GMT

@DanielHeinze

Danke für die Rückmeldung. Ich hab die Frage gleich weitergegeben und melde mich.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

vogtsburger — Wed, 15 Dec 2021 09:31:58 GMT

@DanielHeinze schrieb:
Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

... weiß im Moment nicht, von welchen Updates und von welchem Script Sie sprechen ...

Log4j Schwachstelle

DanielHeinze — Wed, 15 Dec 2021 09:36:13 GMT

Es wurden ja gestren um 1815 Updates freigegeben, welche die Log4J "Lücke" in Datev schließen sollen.

https://apps.datev.de/help-center/documents/1022948

Es gibt ja diverse Powershell scripte, welche nach jar Dateien suchen und die jndi bibliotheken prüfen,

dieses findet immer noch betroffene Bilbiotheken in

c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar

Log4j Schwachstelle

vogtsburger — Wed, 15 Dec 2021 10:40:05 GMT

@agmü schrieb:
... kann man so machen, wenn man mit Überraschungen rechnen muss und die Zeit übrig hat sich auch mit solchen "Problemen" zu beschäftigen; nicht aber, wenn eigentlich nur eine Sicherheitslücke gestopft werden soll und der Schreibtisch und Terminkalender mit - wie nannte es vor längerer Zeit schon einmal jemand - der Erwirtschaftung des Kostendeckungsbeitrag beschäftigt sein sollte.

... ich bedanke mich im Nachhinein für Ihren Hinweis auf den Kollateral-Zeitaufwand, den der Abruf der Hotfixe gestern mit sich gebracht hat.

... so konnte ich mich abends noch mit 'der Erwirtschaftung des Kostendeckungsbeitrags beschäftigen' und nicht die Zeit mit sonstigen Installationen 'verbraten'

... sollte ich übrigens öfter mal 'in's Auge fassen', diesen benutzerdefinierten Abruf, z.B. bei Fehlerbereinigungen in Steuerprogrammen etc. und natürlich bei Hotfixes, die ja technisch wohl 'nur' Patches sind (nehme ich jedenfalls an)

Log4j Schwachstelle

Zahnlücke — Wed, 15 Dec 2021 11:34:19 GMT

Ist LODAS (classic/comfort) auch von log4shell betroffen?

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 13:55:34 GMT

@DanielHeinze schrieb:
Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

Hallo Herr Heinze,

das von Ihnen verwendete Prüftool prüft sehr wahrscheinlich entweder generell auf das Vorhandensein der Komponente oder auch auf die Version 2.15, die wir in unseren Hotfixes verbaut haben, und schlägt deshalb an.

Die Version 2.15 galt bis gestern Abend ca. 19:01 Uhr noch als komplett sicher und seitdem mit einer Ausnahme bei individuellen Konfigurationen nach wie vor als sicher.
In unseren Hotfixes wurde selbstverständlich die Standardkonfiguration verwendet.

Wer die ganz genaue technische Einschätzung nachlesen möchte 😊: https://www.cve.org/CVERecord?id=CVE-2021-45046

Insgesamt ist das Thema aktuell natürlich hoch volatil und beobachten laufend die Entwicklungen, um ggf. weitere Maßnahmen abzuleiten.

Zusammengefasst gibt es mit installierten Hotfixes im Kontext der DATEV-Anwendungen aktuell keinen Grund zur Sorge. Sollte sich die Lage ändern, werden wir schnellstmöglich darauf reagieren.

Viele Grüße
Stefanie Herold

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 13:59:41 GMT

@Zahnlücke schrieb:

Ist LODAS (classic/comfort) auch von log4shell betroffen?

Hallo @Zahnlücke,

die von log4shell betroffene Jasper-Komponente ist Teil von DATEV Basis und wird bei der Aufbereitung von Reports und beim Drucken in den DATEV-Programmen verwendet.

Von daher bitte auf jeden Fall die Hotfixes installieren 🙂

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

DanielHeinze — Wed, 15 Dec 2021 14:01:08 GMT

@Stefanie_Herold perfekt. Danke für die Aufklärung 🙂

Log4j Schwachstelle

Zahnlücke — Wed, 15 Dec 2021 14:11:54 GMT

Ist ein Hotfix mit der log4j-Version 2.16 geplant?

Log4j Schwachstelle

danlen — Wed, 15 Dec 2021 14:15:09 GMT

Hallo Community,

Das wird laut diesem Artikel auf Golem von heute Mittag nicht viel bringen:

Log4J: Erstes Update für Log4Shell-Lücke nicht vollständig - Golem.de

Grüße

Log4j Schwachstelle

zippo — Wed, 15 Dec 2021 14:17:14 GMT

Naja, eine DOS-Schwachstelle ist doch immer noch besser als Remote-Code-Execution (finde ich).

Log4j Schwachstelle

danlen — Wed, 15 Dec 2021 14:28:46 GMT

Hallo,

ja es wäre mal gut zu wissen, was der Hotfix genau macht.

Geänderte Aufrufparameter oder Preferences, setzt er eine Umgebungsvariable? Eben diese Workarounds sind eben höchtswahrscheinlich nicht ausreichend.

Oder beinhaltet der Hotfix am Beispiel Jasper Reports eine neue gekapselte Log4J-Version.

Grüße

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 14:42:26 GMT

@danlen schrieb:
Hallo,

ja es wäre mal gut zu wissen, was der Hotfix genau macht.

Geänderte Aufrufparameter oder Preferences, setzt er eine Umgebungsvariable? Eben diese Workarounds sind eben höchtswahrscheinlich nicht ausreichend.

Oder beinhaltet der Hotfix am Beispiel Jasper Reports eine neue gekapselte Log4J-Version.

Grüße

Hallo @danlen

mit den Hotfixes wurde vollständig auf die Version 2.15 aktualisiert.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

danlen — Wed, 15 Dec 2021 14:44:49 GMT

Das ist doch mal eine Aussage mit der man arbeiten kann. Danke dafür!

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 17:06:51 GMT

Hallo zusammen,

schon mal eine kleine Vorwarnung:

Ab 0:00 Uhr heute Nacht erhalten alle Anwender für die sicherheitsrelevanten Hotfixes beim Systemstart die folgende Programm-Meldung. Die Installation kann maximal 3 Tage aufgeschoben werden...

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

rganter — Wed, 15 Dec 2021 18:09:05 GMT

Sehr geehrte Frau Herold,

Sie wissen, ich schätze Sie sehr. Aber warum wird diese Info Heute um ca. 18:00 Uhr herausgegeben und nicht - ein bißchen - früher?

Schöne Grüße aus Südbaden

Log4j Schwachstelle

Gelöschter Nutzer — Wed, 15 Dec 2021 18:37:00 GMT

da wird doch wohl hoffentlich nichts automatisch installiert und der Server neu gestartet?

Um die Uhrzeit laufen bei uns sämtliche Datensicherungen, die auf keinen Fall durch einen aus Nürnberg initiierten Neustart unterbrochen werden dürfen!

Log4j Schwachstelle

pascal_duennebacke — Wed, 15 Dec 2021 18:44:21 GMT

Finde ich gut! DATEV kümmert sich proaktiv um die Systeme, die potenziell noch gefährdet sind.

Kanzleien mit eigener IT oder einem IT-Dienstleister sollten die Updates sowieso schon längst installiert haben, weshalb dort der Hinweis nicht auftauchen sollte.

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 18:50:33 GMT

@Gelöschter Nutzer schrieb:
da wird doch wohl hoffentlich nichts automatisch installiert und der Server neu gestartet?

Um die Uhrzeit laufen bei uns sämtliche Datensicherungen, die auf keinen Fall durch einen aus Nürnberg initiierten Neustart unterbrochen werden dürfen!

Nach Ablauf der 3 Tage werden nur die Hotfixes automatisch installiert. Diese lösen weder einen Datentrafo noch einen Neustart aus.

Ich persönliche würde die Hotfixes jedoch schon aus Security-Gesichtspunkten zeitnah installieren und nicht auf die automatische Installation warten.

Log4j Schwachstelle

Stefanie_Herold — Wed, 15 Dec 2021 18:56:25 GMT

@rganter schrieb:
Sehr geehrte Frau Herold,

Sie wissen, ich schätze Sie sehr. Aber warum wird diese Info Heute um ca. 18:00 Uhr herausgegeben und nicht - ein bißchen - früher?

Schöne Grüße aus Südbaden

Tut mir leid 😔 Mir ist beim Schreiben dauernd was dazwischengekommen.

Log4j Schwachstelle

andreasmaier — Wed, 15 Dec 2021 20:59:00 GMT

Hotfix B00001429-01750 Update für Jasper Runtime lässt sich mit Software-Stand 5.8.2021 nicht per Hotfix-Installation und nicht manuell installieren weil die benötigte Version 1.73.10 nicht installiert ist.

Also Komplettpaket mit Service Releases und Hotfixes.

Gut dass ich alle Installationstermine in die erste Januar-Woche gepackt hab, dann kann ich ja die gesparte Zeit jetzt dafür verwenden

Log4j Schwachstelle

Nils_Neuendorf — Wed, 15 Dec 2021 21:28:13 GMT

Hallo @andreasmaier ,

das ist korrekt. Der Jasper Reports Hotfix lässt sich nur auf die Version von DATEV Basisdienste Ausgabe 6.12 installieren, welche mit dem Update Termin am 02.09. bereitgestellt wurde. Ich bin da jetzt kein Spezialist, aber meines Wissens können Sie im Expertenmodus im Installationsmanager auch den Servicerelease Stand vom 02.09. installieren. Siehe hierzu Hilfe Dokument 1005475 .

Vielleicht kann sich hierzu aber auch noch ein Installations-Spezialist einklinken.

Log4j Schwachstelle

Gelöschter Nutzer — Wed, 15 Dec 2021 21:28:15 GMT

@Stefanie_Herold schrieb
Nach Ablauf der 3 Tage werden nur die Hotfixes automatisch installiert. Diese lösen weder einen Datentrafo noch einen Neustart aus.
Ich persönliche würde die Hotfixes jedoch schon aus Security-Gesichtspunkten zeitnah installieren und nicht auf die automatische Installation warten.

ich hätte die Hotfixes liebend gerne manuell installiert, nur leider war der Installationsmanager mal wieder der Meinung, dass mit dem letzten Update nicht alle Daten aktualisiert werden konnten, und er vorher einen Neustart haben wollte.

Es war aber definitiv nichts neu installiert worden, weder von Microsoft noch von DATEV.

Aber egal, ich habe die Chefs überzeugen können heute mal nicht bis nach 23:00Uhr zu arbeiten und hab gleich die ganzen Updates vom 14.12. installiert. So habe ich hoffentlich Ruhe bis zum Update am 30.

Log4j Schwachstelle

sne1965 — Thu, 16 Dec 2021 05:55:52 GMT

Guten Morgen,

wir sind selbstbuchender Mandant und haben die Datev-Programme vor Ort.

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:

Logpresso CVE-2021-44228 Vulnerability Scanner 1.5.0 (2021-12-15)
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-45046 vulnerability in C:\Datev\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (BOOT-INF/lib/log4j-core-2.15.0.jar), log4j 2.15.0

Ist Elster noch sicher ?

Mit freundlichen Grüßen

Stephan

Log4j Schwachstelle

danlen — Thu, 16 Dec 2021 07:11:26 GMT

Hallo zusammen,

auf der Elster-Homepage heißt es:

ELSTER - Startseite

Log4j Schwachstelle

sne1965 — Thu, 16 Dec 2021 07:32:16 GMT

Und der ElsterAuthenticator ?

Log4j Schwachstelle

danlen — Thu, 16 Dec 2021 10:22:01 GMT

Am besten mal eine Mail an Elster-Support schicken, oder anrufen würde ich sagen.

Sie können ja das Feedback von Elster gerne hier allen mitteilen 🙂

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 08:12:01 GMT

@sne1965 schrieb:

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1

Ist Elster noch sicher ?

Guten Morgen,

ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂

Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

clapohl — Thu, 16 Dec 2021 09:59:34 GMT

Guten Morgen,

ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.

Was kann ich ihm antworten?

MfG

C.Pohl

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 10:17:38 GMT

@clapohl schrieb:
ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.
Was kann ich ihm antworten?

@clapohl

Alle DATEV Cloud-Anwendungen werden seit Samstag laufend aktualisiert. Speziell für DATEV Unternehmen online muss Ihr Mandant selbst nichts unternehmen.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

Nutzer_8888 — Thu, 16 Dec 2021 11:44:14 GMT

Was mir auffällt ist, dass im Vergleich zur Datev viele SW-Anbieter (gerade auch kleinere) sich kaum zur Betroffenheit/Nichtbetroffenheit von der Schwachstelle öffentlich äußern oder dies halt - wie beim ElsterPortal - nicht so ganz umfänglich tun.

Alles Outgesourcte scheint nicht mehr voll in der Kontrolle vieler SW-Anbieter zu sein und man scheint (oder mangels Kompetenz: muss) sich wohl blind auf diese externen Partner zu verlassen?! Jeder versucht scheinbar den eigenen Rücken an die Wand zu bekommen. Hier muss bestimmt die Outsource-Strategie einiger Anbieter kritisch hinterfragt werden. Das wird ja leider nicht die letzte signifikante Schwachstelle sein?!

Es fällt mir auch auf, dass auf den Web-Seiten der Anbieter regelmäßig keine tauglichen Kontaktmöglichkeiten (Telefon, direkte Mail) mehr auffindbar sind, sondern bevorzugt KI-Roboter und Kontaktformulare verlinkt sind. Auch sind viele Antworten letztlich kaum glaubwürdig, weil - zumeist mangels Expertise - viel Vermutung heraushörbar ist. Für professionellen Kundensupport steht das nicht! - Bitte verzeiht dies Allgemeinheit!

Hier hebt sich die Datev m.E. deutlich positiv ab!!!

Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....

Log4j Schwachstelle

Gelöschter Nutzer — Thu, 16 Dec 2021 11:20:06 GMT

Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....

@Nutzer_8888

das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.

Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.

Werden die DATEV-Anwendungen immer noch laufend aktualisiert?

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 11:33:35 GMT

@Gelöschter Nutzer schrieb:

das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.

Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.
Werden die DATEV-Anwendungen immer noch laufend aktualisiert?

Unser SOC schläft nie

Und wenn dringende sicherheitsrelevante Anpassungen notwendig sind, sind Urlaube im Notfall ganz schnell beendet... Beim Thema Security verstehen wir überhaupt keinen Spaß‼️

Log4j Schwachstelle

Gelöschter Nutzer — Thu, 16 Dec 2021 11:45:19 GMT

@Stefanie_Herold

da habe ich auch nicht Datev mit gemeint :-). Dennoch bin ich etwas verwundert, dass Datev noch im Patchprozess hängt.

Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?

Log4j Schwachstelle

Nutzer_8888 — Thu, 16 Dec 2021 11:46:40 GMT

Hoffen wir mal, dass alles unauffällig bleibt. Andernfalls könnte man aber wenigstens sagen, dass man gehobelt hätte ....

Log4j Schwachstelle

Gelöschter Nutzer — Thu, 16 Dec 2021 11:55:40 GMT

@Nutzer_8888

bei uns waren wir, mit etwas glück, nie angreifbar für den hack, da das programm nur mit local clients spricht und nicht auf anfragen von xyz.. wurde allerdings auch mal aktiv so eingestellt.

mal abgesehen davon ist unsere it und programmvielfalt überschaubar.. in grossen oder nicht aktiv betreuten umgebungen bestimmt spannender..

dies updatemanagement von java ist nicht so trivial.. schrieb mal jemand.

Log4j Schwachstelle

agmü — Thu, 16 Dec 2021 12:14:24 GMT

ungeachtet der zeitnahen Reaktion durch die DATEV wird mir bei diesem, auf heise.de zum Thema Log4j Schwachstelle auffindbaren, Kommentar aus anderen Gründen mulmig.

Entweder verstehe ich die Ausführungen falsch oder die "Schwachstelle" in Log4j ist gar kein Bug, sondern es wird "lediglich" eine Schnittstelle die dem Soll-Zustand entspricht "missbraucht".

Die Richtigkeit unterstellt wäre der eigentliche "Fehler" in der grundlegenden Funktionsweise der Software zu suchen. Weitere Folge wäre, dass kein Patch, diese Funktionsweise (auf die schnelle) beheben kann, denn dann wäre die Software nicht mehr lauffähig.

Über die weiteren Konsequenzen will ich dann nicht nachdenken.

Ich hoffe ich verstehe dieses Ausführungen "nur" falsch.

Log4j Schwachstelle

Gelöschter Nutzer — Thu, 16 Dec 2021 12:52:46 GMT

@agmü

"Zudem wird der betroffene Teil der Log4J Bibliothek (das Ausführen von externem Code)
in xxx an keiner Stelle verwendet. Der xxx Server nutzt in der Standardkonfiguration Log4J nicht."

Aussage eines Supportteams...

es kommt immer drauf an, wo wie usw. das teil genutzt wird.

Log4j Schwachstelle

münster — Thu, 16 Dec 2021 12:57:49 GMT

@agmü,

Sie verstehen da nichts falsch. Das ist JAVA. Viele Klassen und keine Ahnung wie die verbunden sind. Nur ein Aufruf mit Übergabe der Parameter.

Eine JAVA Programmierer hat mal versucht mir das zu erklären, mit Pascal und C Logik bin ich da nicht durchgestiegen und erklären, was wann und wie aufgerufen und zurückgeliefert wird konnte er auch nicht. Es kam nur: "Das rufe ich so auf und dann geht es."

Danach habe ich für mich beschlossen das JAVA nix für mich ist, das Steuerrecht hat mindestens genau so viele schwarze Löcher, da brauche ich keine zusätzlichen.

Log4j Schwachstelle

danlen — Thu, 16 Dec 2021 13:00:24 GMT

Erstmal ein Kudo für den trockenen Humor 😂

Vielleicht sollte man angesichts der Lage auch darüber nachdenken Landschaftsgärtner zu werden, so wie der Autor des Heise-Artikels...

Log4j Schwachstelle

vogtsburger — Thu, 16 Dec 2021 13:24:33 GMT

... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll

... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?

... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht

... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken

Log4j Schwachstelle

c_k_ — Thu, 16 Dec 2021 14:05:43 GMT

Hallo an Alle,

überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.

Ist diese App auch von der Log4Shell betroffen?

Grüße

Chris

Log4j Schwachstelle

agmü — Thu, 16 Dec 2021 14:32:27 GMT

@vogtsburger schrieb:

... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll

... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?

... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht

... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken

Das ist genau die Frage: Ich verstehe den Kommentar so, dass im Sinne des Systemdesign unklar (work as designed) ist, welche Aktionen wann, wo und wie ausgeführt werden. Daher erscheint es mir unmöglich die "Aktionen auf das Unverzichtbare oder Alternativlose" einzuschränken.

Log4j Schwachstelle

vogtsburger — Thu, 16 Dec 2021 14:58:53 GMT

... ja, die Java-Aktionen sind anscheinend nicht kontrollierbar oder selektierbar,

aber ich meinte eigentlich meine eigenen 'Aktivitäten', also die Verwendung bestimmter Tools und Programme.

... wenn natürlich Java-Funktionen in zentralen Software-Komponenten verwendet werden, z.B. bei jeder Erstellung irgendeiner Auswertung oder beim Drucken etc. dann wäre das ein Spiel mit dem Feuer

... mir ist auch nicht ganz klar, ob diverse JAVA-Funktionen grundsätzlich mit Diensten im Internet kommunizieren (müssen), um überhaupt zu funktionieren

... dass sie also permanent irgendwo Spuren hinterlassen und entsprechende Systeminformationen, ip-Adressen, Betriebssystem, DNS-Server-Adressen etc. 'verraten'

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 15:30:42 GMT

@Stefanie_Herold schrieb:
@sne1965 schrieb:

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1

Ist Elster noch sicher ?

Guten Morgen,
ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂
Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.

Viele Grüße
Stefanie Herold

Hallo zusammen,

wir haben alle Verwendungen des ERiC-Clients geprüft. Von unserer Seite wird der ELSTER-Authenticator nicht mitgebracht und auch nicht nachgeladen.
Heißt: Der Authenticator kommt entweder über eine nicht-DATEV-Software oder evtl. auch direkt über ELSTER-Module.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

d_z_ — Thu, 16 Dec 2021 16:02:06 GMT

Beim ElsterAuthenticator steht sinngemäß, dass eine betroffene Version von log4j eingesetzt wird, aber nicht ausgenutzt werden kann - bisher kein Update

Infoseite elsterauthenticator

Log4j Schwachstelle

jafrasch — Thu, 16 Dec 2021 16:15:19 GMT

@agmü

kris ist ein hervoragender Erklärbär für solche Sachen. Alleine seine bildliche Darstellung mit der Phrase: "Man muss sich das wie einen Dreijährigen vorstellen, der sich jede Klasse in den Mund steckt, um herauszufinden, wie sie schmeckt und ob sie sich ausführen lässt." trifft es. Also ja: Sie verstehen das richtig.

(Hint an die DATEV: kris ist übrigens sehr erfahren mit großen RZ und Datenbanken. Falls ihr also mal eine guten Einschätzung eines fremden Dritten braucht...)

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 16:30:21 GMT

@c_k_ schrieb:
überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.
Ist diese App auch von der Log4Shell betroffen?

Hallo @c_k_

das Update für die SmartLogin App hat nichts mit Log4Shell zu tun 🙂

Es ist ein ganz normales Update und bringt z.B. den Landscape-Mode bei iOS (incl. automatisches Drehen) und eine Verbesserung der Mailanbindung bei der Registrierung mit 👍

VG aus Nürnberg

Log4j Schwachstelle

Stefanie_Herold — Thu, 16 Dec 2021 16:39:17 GMT

@Gelöschter Nutzer schrieb:
Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?

In meinen Augen ist das Interpretationssache, was man unter bedingt bis gar nicht versteht.

DATEVnet bietet einen grundsätzlichen Schutz gegen Angriffe von außen und prinzipiell auch gegen Angriffe über die Log4j-Lücke, der aber keinesfalls ausreichend ist und es ohnehin keinen vollumfänglichen Schutz geben kann.

Konkret

blockiert DATEVnet eingehende Verbindungen (sofern nicht Portfreischaltungen existieren)
sperrt Zugriffe von IP-Adressen, die bekanntermaßen „bösartig“ sind, aktualisiert diese Sperrlisten fortlaufend und loggt Zugriffsversuche von solchen IP-Adressen

Vollständige Abhilfe bietet nur die Behebung der Sicherheitslücken in allen betroffenen Systemen - auch nicht-DATEV-Software, die ggf. auf dem gleichen Rechner läuft.

Viele Grüße aus Nürnberg

Log4j Schwachstelle

Nutzer_8888 — Thu, 16 Dec 2021 17:15:29 GMT

Danke, für den Link. Dies hätte m.E. auf der Elster-Homepage zentral mit aufgeführt sein können.

Wir haben den parallel installiert und einer der vorigen Posts wurde die betroffene Bibliothek erwähnt!!

Log4j Schwachstelle

Nutzer_8888 — Thu, 16 Dec 2021 17:26:29 GMT

Das ist der Punkt, die Softwareentwickler setzen immer weiter auf Vorgefertigtes auf. Dies führt dazu, dass die den Code im Detail selbst nicht mehr verstehen (müssen).

Früher kannte man die Buchstaben, dann die Worte, dann die Texte und heute halt noch die Briefe, wobei man nur die Überschrift kennen muss.

Schadcode befindet sich m.E. häufig versteckt in den Buchstaben ...

PS: dennoch kann, mit geeigneten Programmiersprachen bzw. ausreichender Qualifikation, wohl sicher programmiert werden

Log4j Schwachstelle

grandfunck — Thu, 16 Dec 2021 18:33:58 GMT

Moin in die Runde,

heute gab es ja eine blaue Titelzeile hier in der Community mit dem Hinweis auf neue Updates zu den Problemen.

Vielen Dank an DATEV für diesen zusätzlichen Hinweis, ansonsten hätte ich es sicher viel später gemerkt.

Man sitzt ja abends im Büro, nichts Böses denkend und in der Hoffnung, etwas vom Tisch zu bekommen, dann doch noch mal ein paar Hotfixes, die kann man ja mal fix installieren... oder auch nicht so fix.

Bislang dachte ich immer, Hotfixes können auch im Hintergrund laufen und man selbst weiter arbeiten. Dann kam der Hinweis: Besser sei es, den Arbeitsplatz zu verlassen. Später erforderte die Installation auch Neustarts. Also nicht ganz so einfach und locker.

Aber wenn es hilft, kann ich gut damit leben und hoffe die Updates kommen rechtzeitig und dafür danke ich DATEV. Mein Beitrag hier soll vor allem als Hinweis dienen, dass diese Hotfixes nicht ganz so einfach zu sein scheinen.

Frohes Schaffen wünscht

Log4j Schwachstelle

danlen — Thu, 16 Dec 2021 19:39:49 GMT

Könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Danke.

Log4j Schwachstelle

metalposaunist — Thu, 16 Dec 2021 21:36:28 GMT

@Gelöschter Nutzer schrieb:
nur leider war der Installationsmanager mal wieder der Meinung, dass mit dem letzten Update nicht alle Daten aktualisiert werden konnten, und er vorher einen Neustart haben wollte.

Taskmanager und den Task aka Installationsmanager abschießen. Ob das zu 100% klappt, weiß ich aus Erfahrung gerade nicht mehr aber wäre mein erster Reflex gewesen. Warum diese Meldung kommt, ist mir auch total schleierhaft.

@Stefanie_Herold schrieb:
Beim Thema Security verstehen wir überhaupt keinen Spaß‼️

Naja, liebe Steffi - SmartVerify ist da wohl kein gutes Beispiel (wenn es vorher schon sehr sicher war) und die Community hat bis heute keine 2FA Authentifizierung.

Und selbst wenn @Dirk_Jendritzki meint, dass die Community nicht zu einer Vertraulichkeitsklasse reicht: Wenn mein Account gehackt wird und damit Schabernack getrieben wird; Posts abgesetzt werden, die nicht von mir stammen; super toll - dann habe ich den Schaden. Identitätsdiebstahl ist nicht lustig!

Wenn wir diese Aussage zu 100% ernst nehmen und das wirklich sauber durchziehen ist noch Luft nach oben. Gepaart mit Bequemlichkeit, was sich nicht immer ausschließen muss 😉.

Und noch immer warte ich auf den großen Knall, wie sie bei Exchange und anderen Hacks mit Ransomware der Fall war. Ja, es laufen wohl Tests aber wenn jetzt mehr und mehr die Lücke schließen, kann man diese nicht mehr ausnutzen; auch wenn man vorher genau danach gescannt hat. Verhält sich nicht wie typische, reuelose Angriffe, denen egal ist, was passiert. Die sind nur aufs schnelle Geld aus.

Log4j Schwachstelle

vogtsburger — Thu, 16 Dec 2021 22:39:53 GMT

@grandfunck schrieb:
... heute gab es ja eine blaue Titelzeile hier in der Community mit dem Hinweis auf neue Updates zu den Problemen ...

... ich sage einfach auch mal "moin !" kurz vor Mitternacht und sogar als Nicht-Norddeutscher.

Danke für den Hinweis, @grandfunck

... hatte ich glatt übersehen, obwohl ich hier ja oft und viel lese, ... seltsam ...

... dieses Hinweis-Fensterchen hatte für mich keinerlei Signalwirkung. Die Farbe war vielleicht laut Farbpsychologie und laut "großem Lüscher-Test" passend, aber ein kräftiges "rot" oder "gelb" oder gar mit blinkendem Text, wäre aus meiner Sicht besser gewesen.

Außerdem war nirgends ein Datum zu sehen.

Man kann nicht erkennen, ob dieser Hinweis 2 Stunden, 2 Wochen oder 2 Jahre da steht

... ich frage mich, wie die übrige Datev-Welt von dieser dringenden Handlungsempfehlung erfährt

Log4j Schwachstelle

grandfunck — Fri, 17 Dec 2021 06:48:23 GMT

Moin zurück,

bei mir war's auch eher Zufall, irgendwie störte bzw. irritierte mich das Blau, also tatsächlich mal hingeschaut und dann wieder einmal froh, bei der Community dabei zu sein...

Hotfixes sing (hoffentlich) besser als nichts tun, den ganzen technischen Hintergrund verstehe ich leider so gut wie nicht, nur dass die Welt schlecht ist und das in der Weihnachtszeit. Aber damit habe ich mich schon längst abgefunden, Friede-Freude-Eierkuchen-Zeit ist vorbei, man muss sich halt selbst versuchen zu schützen wie und wo es geht.

Eine schöne Restvorweihnachtszeit wünscht

edith: Eigentlich wollte ich ja von Friede-Freude-Lebkuchen schreiben ;-).

Log4j Schwachstelle

vogtsburger — Fri, 17 Dec 2021 06:53:20 GMT

Danke, @danlen , für den Link,

... allerdings frage ich mich, wer unter den Datev-Anwendern diese kryptischen 'Befehle ' verstehen und anwenden kann

Beispiel:

Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.

... werden diese Schritte und 'Befehle' durch die neuen Datev-Hotfixe ausgeführt ?

... kann man die evtl. dort 'eingebauten' Scripte lesen ?

... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools

Log4j Schwachstelle

Stefanie_Herold — Fri, 17 Dec 2021 06:59:51 GMT

@metalposaunist schrieb:
@Stefanie_Herold schrieb:
Beim Thema Security verstehen wir überhaupt keinen Spaß‼️
Naja, liebe Steffi - SmartVerify ist da wohl kein gutes Beispiel (wenn es vorher schon sehr sicher war) und die Community hat bis heute keine 2FA Authentifizierung.

Guten Morgen lieber Daniel,

du weißt, dass ich dich sehr schätze. Und deshalb möchte ich auch ein Zettelchen an deinen Wunschbaum hängen 🎄

Ich wünsche mir, dass wir Aussagen im jeweiligen Kontext betrachten und diskutieren.

Ich hab echt keine Zeit jeden Satz drei Tage lang einer globalgalaktischen Prüfung zu unterziehen, bevor ich ihn schreibe.

Und lass uns diese Diskussion ggf. gerne an anderer Stelle weiterführen, damit wir hier am Thema bleiben

In diesem Sinne: Auf in einen neuen Tag ohne böse Überraschungen 🍀

Liebe Grüße

Steffi

Log4j Schwachstelle

danlen — Fri, 17 Dec 2021 07:44:40 GMT

Hallo und einen wunderschönen guten, neuen Morgen,

könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Danke.

Log4j Schwachstelle

Stefanie_Herold — Fri, 17 Dec 2021 07:30:03 GMT

@danlen schrieb:
könnten Sie bitte dann einmal hierzu Stellung nehmen?
https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Guten Morgen @danlen,

wir sind bereits seit gestern Früh in einer dedizierten Bewertung für alle Anwendungen. Ich melde mich dazu heute Nachmittag.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

danlen — Fri, 17 Dec 2021 07:41:03 GMT

Danke, wir würden ggf. unsere Systeme noch vor dem Wochenende patchen bzw. absichern. 👍

Log4j Schwachstelle

Stefanie_Herold — Fri, 17 Dec 2021 08:37:54 GMT

@vogtsburger schrieb:

... allerdings frage ich mich, wer unter den Datev-Anwendern diese kryptischen 'Befehle ' verstehen und anwenden kann

Beispiel:
Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.
... werden diese Schritte und 'Befehle' durch die neuen Datev-Hotfixe ausgeführt ?

Hallo zusammen,

bitte in den DATEV-Anwendungen nicht irgendwelche Java-Classes löschen.

Mit den aktuellen Hotfixes wurden alle derzeit bekannten Absicherungsmaßnahmen durchgeführt und die Wahrscheinlichkeit dabei etwas "kaputt" zu machen ist ziemlich hoch.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

vogtsburger — Fri, 17 Dec 2021 09:50:58 GMT

Hallo Frau @Stefanie_Herold ,

in meinem Post hatte ich vom Inhalt der Scripts und von Programmen und Tools außerhalb der Datev-Anwendungen gesprochen

@vogtsburger schrieb:
... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools

.. die Idee dahinter war, dass man evtl. mit Hilfe und durch Umschreiben der Datev-Scripts (als Vorlage) auch sonstige Datenpfade bereinigen könnte

... an den Datev-Scripts werde und würde ich niemals nicht 'herumfummeln'.

Das wäre mir zu kompliziert und zu riskant (wegen der Lauffähigkeit der Datev-Umgebung).

Log4j Schwachstelle

Stefanie_Herold — Fri, 17 Dec 2021 10:20:38 GMT

@danlen schrieb:

könnten Sie bitte dann einmal hierzu Stellung nehmen?
https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Hallo zusammen,

nun doch schon vor heute Nachmittag 🙂

Wir prüfen aktuell laufend anhand der vorliegenden Informationen bei allen DATEV-Anwendungen, inwieweit weitere Maßnahmen erforderlich sind.

Im Umfeld der lokalen DATEV-Anwendungen ist die von uns verbaute Version 2.15 von Log4J in der von uns verwendeten Konfiguration derzeit sicher.

Wir werden trotzdem - einfach um auf dem aktuellsten Stand zu sein - die Jasper-Komponente in DATEV Basis Ausgabe mit den Jahreswechselversionen am 30.12. mit der dann aktuellsten Version von Log4J ausliefern. Dies ist aktuell die Version 2.16.

Für das Anwaltspostfach sind wir auf die Zulieferung der BRAK angewiesen und stehen dazu in sehr engem Kontakt.

Sollte die nach wie vor sehr dynamische Situation einen früheren Austausch dringend erforderlich machen, werden wir natürlich entsprechend reagieren.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

danlen — Fri, 17 Dec 2021 10:24:17 GMT

Verbindlichsten Dank und eine schöne Weihnachtszeit 🎄

Log4j Schwachstelle

Stefanie_Herold — Fri, 17 Dec 2021 11:00:38 GMT

@vogtsburger schrieb:

in meinem Post hatte ich vom Inhalt der Scripts und von Programmen und Tools außerhalb der Datev-Anwendungen gesprochen
@vogtsburger schrieb:
... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools
.. die Idee dahinter war, dass man evtl. mit Hilfe und durch Umschreiben der Datev-Scripts (als Vorlage) auch sonstige Datenpfade bereinigen könnte

Ah ok, jetzt hab ich es verstanden 💡

Ich verstehe Ihre Unsicherheit total. Ein kühler Kopf hilft aktuell aber vermutlich am meisten

In die Konfiguration von Software einzugreifen, würde ich auf keinen Fall tun. Überall wo Sie selbst Hand "rumfummeln", übernehmen Sie auch selbst das komplette Risiko für alles was passiert.

Wenn ich Kanzleiinhaberin oder Admin wäre, würde ich persönlich folgende Schritte unternehmen:

1. Tägliche saubere Datensicherungen.

2. Alle zur Verfügung stehenden Software-Updates der Hersteller einspielen.

3. Alles, was nicht zwingend gebraucht wird, abschalten. Für meine eigene Ruhe vor allem nachts und am Wochenende.

4. Und natürlich entsprechende Sensibilisierung aller Mitarbeitenden.

Wenn Sie selbst keine exponierten Webserver betreiben und sich sozusagen in ihrem geschlossenen Client-Umfeld bewegen, sind Sie vor direkten Angriffen von außen schon mal per se ganz ordentlich geschützt.

Und für indirekte Angriffe via Dateianhängen und ähnlichem gilt wie immer ein wachsames Auge - im Moment besser beide - bei allen Akteuren innerhalb ihres Netzwerks zu haben.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

hoorpeter — Fri, 17 Dec 2021 11:12:24 GMT

@grandfunck schrieb:
Moin zurück,

bei mir war's auch eher Zufall, irgendwie störte bzw. irritierte mich das Blau, also tatsächlich mal hingeschaut und dann wieder einmal froh, bei der Community dabei zu sein...

Das "Blau" hebt sich leider wirklich nicht ganz so alarmierend von den restlichen Seiteninhalten ab. Hier wäre eine andere Farbwahl oder evtl. einen farblichen Hinweis (Rotes oder gelbes Hinweisschild - ähnlich Störung-Hinweise in DUO) dazuschalten.
Vll. kann @Stefanie_Herold dies mal weitergeben.

Aber auf jedenfall ist es Lobenswert von DATEV, dass der Hinweis geschaltet ist.

Log4j Schwachstelle

eliansawatzki — Fri, 17 Dec 2021 12:54:51 GMT

Hackerangriff auf den BFH:

https://www.tagesschau.de/inland/bundesfinanzhof-hackerangriff-101.html?fbclid=IwAR3-EQtFLYuQtKr461a1ADKKMiT-Xet5phViX_Fd6M5fPfJESJyfs6v66eM

Log4j Schwachstelle

vogtsburger — Fri, 17 Dec 2021 14:34:10 GMT

@hoorpeter schrieb:
... Das "Blau" hebt sich leider wirklich nicht ganz so alarmierend von den restlichen Seiteninhalten ab ...

... vor allem befindet sich dieser Hinweis nicht im normalen Blickfeld. Da man ja gewöhnlich am Ende eines Threads liest und nicht ganz oben über dem ersten Post.

... diese Pastellfarben sind eher zum 'Einlullen' geeignet als zum 'Aufschrecken'

... am besten wären vielleicht PopUp-Fenster oder Sprechblasen an der Cursorposition oder Ähnliches

Log4j Schwachstelle

andreashofmeister — Fri, 17 Dec 2021 13:09:19 GMT

Der Bund scheint seine Prioritäten scheinbar anders zu setzen.

Ist ja nicht das erste Mal, dass öffentliche Einrichtungen gehackt werden..(Bundestagsverwaltung, Berliner Kammergericht, Stadt Witten.....).

Log4j Schwachstelle

peter — Fri, 17 Dec 2021 13:50:23 GMT

Hallo,

zur Info, da ich vermute dass auch hier euch einige sv.net-Anwender unterwegs sind. Ich habe bei der Hoteline angefragt und heute eine kurze E-Mail erhalten:

Nach eingehender Prüfung können wir Ihnen mitteilen, dass sv.net-Anwender von dieser Sicherheitslücke nicht betroffen sind.

Log4j Schwachstelle

Gelöschter Nutzer — Fri, 17 Dec 2021 19:55:36 GMT

da war einer schneller 🙂

Log4j Schwachstelle

quantenjoe — Fri, 17 Dec 2021 20:48:24 GMT

Moin

Der BFH sagt, der Angriff hat keine Probleme verursacht (außer das die Webseite offline war/ist (hab ich nicht geprüft)

Für Datev on premise gab es m.E. keine echte Gefahr, denn Jasper hätte von intern mich einem kompromittierten Dokument gefüttert werden müssen.

BEA will sowieso erst das Update haben (so war's jedenfalls bei uns). Elster Authentificator hätte vor der Erklärung bei Elster auch nur bei Kompromittierung der Elster-Seite eine Gefahr sein können - mit Haftung der bayr. Betreiber.

Bleibt echt nur die Frage, wie steht's um die Datev-Cloud-Dienste. Wenn die Datev heute damit durch sind, wohl eher gut. Was Heise berichtet, geht's erst jetzt richtig los. Bisher gab es wohl nur Tests.

Sofern noch nicht alle Cloud-Dienste save sind, wüsche ich mir ein da eine Warnung - und ggf. eine vorübergehende Abschaltung damit diese Dienste nicht übernommen werden können und u.U. auf lokale Installationen überspringen können. Mag nicht einfach sein, doch wir wissen halt auch nicht über welches Know-How die Angreifer verfügen! Und dies Datev mit ihren Mitglieder ist sicherlich nicht unattraktiv.

Insofern: Es sieht erstmal gut aus, aber liebe Datev berichtet über euer Cloud konkreter! Ggf. blockt für einige Zeit einen Dienst. Ist doof, aber ihr wußtet die Lücke ja auch nicht!

Log4j Schwachstelle

Stefanie_Herold — Sat, 18 Dec 2021 14:03:08 GMT

Hallo zusammen,

hier ein kurzer Status zum heutigen Samstag.

Ein “Überspringen” aus den Cloud-Anwendungen auf Client-Systeme ist nach unserer Einschätzung derzeit nicht möglich.

Viele Grüße 🍀
Stefanie Herold

Log4j Schwachstelle

rgeiler — Sat, 18 Dec 2021 11:00:15 GMT

Guten Tag Frau Herold,

auch in Angesicht der "Gefahr" einer Wiederholung:

Ein herzliches DANKE! Sie machen einen GROSSARTIGEN Job und die im Hintergrund arbeitenden Kollegen natürlich ebenso.

Immer wenn der Baum brennt sind SIE da und kommunizieren das Notwendige.

Viele Grüße!

R. Geiler

Log4j Schwachstelle

Fassungsloser — Sat, 18 Dec 2021 14:47:06 GMT

Ich weiß nicht, was in dem "Proof Of Concept" verwendet wurde, um diese Sicherheitslücke nachzuweisen, aber Java-Entwickler mit entsprechenden Programmierkenntnissen und Absichten könnten doch auch nach diesem Muster Schadsoftware einschleusen

Wo eine Nachfrage ist, da gibt es auch bald oder jetzt schon Angebote

Log4j Schwachstelle

vogtsburger — Sun, 19 Dec 2021 09:28:25 GMT

... auf folgender URL wird eine Liste der betroffenen und nicht betroffenen Software veröffentlicht

https://github.com/cisagov/log4j-affected-db

(evtl. wurde diese Adresse in einem früheren Post bereits genannt, ist mir aber noch nicht begegnet und 'frisst kein Brot')

Nachtrag:

https://www.cisa.gov/about-cisa

(="CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY")

"An official website of the United States government"

(eine staatlich Behörde in den USA)

(falls man der englischen Sprache 'mächtig' ist, findet man dort auch 'mächtig' viele Informationen zum Thema Cyber-Sicherheit )

Log4j Schwachstelle

Stefanie_Herold — Mon, 20 Dec 2021 10:06:00 GMT

Hallo zusammen,

die Lage bleibt weiterhin dynamisch und wir sind rund um die Uhr an allen Entwicklungen dran.
Ab heute 14:00 Uhr (Montag 20.12.) stehen aktualisierte Hotfixes bereit.

Wie am Samstag bereits berichtet, werden die DATEV Cloud-Anwendungen permanent den neuen Gegebenheiten angepasst.

Hotfix B0001429-01530
Hotfix B0001429-01760
Hotfix B0001429-01930
Download DATEV Mittelstand 2021 - Servicerelease (ab 18:15 Uhr)
Download Jasper Reports V. 1.53 für Lohn und Gehalt compact V. 11.6x (ab 18:15 Uhr)

Die Installation wird von DATEV empfohlen.

Die Jahreswechsel-Versionen ab 30.12. enthalten dann ebenfalls die aktuelle Version.

Viele Grüße aus Nürnberg

Stefanie Herold

Log4j Schwachstelle

vogtsburger — Mon, 20 Dec 2021 10:40:56 GMT

... Danke, Frau @Stefanie_Herold , für die aktuellen Infos

... aber noch eine Frage :

lässt sich das 'dezente', pastellfarbene, 'schüchterne' Hinweis-Fenster im Kopfbereich der Community-nicht etwas 'kräftiger' darstellen, mit Signalfarben (gelber oder roter Hintergrund, blinkender Text, jedenfalls auffallend auffällig, ***bleep*** auf Datev-Corporate-Design 😎), um 'schlafende Hunde' zu wecken, auch diejenigen, die vor dem Bildschirm kurz vor dem Einschlafen sind ?

Nachtrag:

... noch besser wäre natürlich ein Hinweis oder Warnsymbol oder etwas Ähnliches, das auf jedem Bildschirm der Community erscheint, also im Bereich, der oben fixiert und permanent zu sehen ist

Log4j Schwachstelle

danlen — Mon, 20 Dec 2021 10:53:55 GMT

Wuff! Mahlzeit, finde ich auch! 😂

Log4j Schwachstelle

grandfunck — Mon, 20 Dec 2021 11:18:08 GMT

Moin,

da ich jetzt immer einen Blick auf den blau hinterlegten Hinweis habe und dann in die (unnötige) Arbeitsfalle tappe:, meine Bitte:

Wäre es möglich, beim Hinweis ein Datum mit anzugeben?

Wenn wie heute z. B. die Hotfixes vom 16.12. bereits installiert sind, gibt's ja nichts Neues. Da schaut man dann zwei- dreimal hin und prüft danach den InstMan oder zumindest das verlinkte Dokument, hat nichts Aktuelleres und hat dann gute Chancen nicht jeden Tag zu prüfen und dann wichtige Updates zu übersehen.

Im Voraus vielen Dank und schon mal vorbeugend alles Gute für die Feiertage, mögen Menschen und Technik gesund und munter bleiben!

Log4j Schwachstelle

Stefanie_Herold — Mon, 20 Dec 2021 12:56:50 GMT

Ergänzung Datum ist gebongt ✔️

Änderung der Farbe für die Zukunft ist für die nächsten Anpassungen (frühestens im Januar) in Auftrag gegeben.

Log4j Schwachstelle

Dirk_Jendritzki — Mon, 20 Dec 2021 13:13:07 GMT

Hallo zusammen,

danke für das Feedback zu dem Banner, der dafür eigentlich nie gedacht war 😉

Die Farbe werden wir überarbeiten und aufmerksamkeitsstärker gestalten, wahrscheinlich irgendwas in Richtung Orange.

Der Hinweis selbst wird aktuell auf jeder Inhaltsseite angezeigt, manuell gepflegt und gesteuert. Mit einem Klick landet man bei der Zielseite, das kann wie aktuell ein Hilfe-Dok sein, kann aber auch eine Community-Diskussion oder ein anderes geeignetes Ziel sein, welche in der Regel selbst eine "Zuletzt aktualisiert am"-Info beinhalten. Den einen Klick muss man dann schon machen. Denn eine Datums- / Zeitangabe hier, in einem vom Linkziel unabhängigen System, würde unweigerlich zu Abweichungen und damit zu Verwirrungen führen.

*keep it simple*

Log4j Schwachstelle

Softwareprüfer — Mon, 20 Dec 2021 13:14:41 GMT

@Stefanie_Herold
DATEVnet bietet einen grundsätzlichen Schutz gegen Angriffe von außen und prinzipiell auch gegen Angriffe über die Log4j-Lücke

Es tut mir leid, Ihnen hier widersprechen zu müssen, aber der Angriff bei Log4j erfolgt ja normalerweise gerade nicht über den sonst oft benutzten Weg des direkt eingehenden Netzwerkverkehrs. Auch ist diesmal kein ausgehender Zugriff auf ein "bösartiges" System für einen erfolgreichen Angriff notwendig.

Das bedeutet, dass die bisherigen Filter von DATEVnet wie auch von anderen Firewallsystemen eine Infektion so einfach nicht verhindern können. Der einzige Nutzen läge im späteren Unterbinden der Kommunikation mit einen C&C Server, wenn nach erfolgreicher Kompromittierung des Systems die Schwachstelle nicht direkt ausgenutzt wird, sondern eine Hintertür eingebaut werden sollte, was bei dieser Art der Lücke nicht unwahrscheinlich ist (ich würde es zumindest als Hacker so machen).

Dann wäre die Hintertür eventuell durch Filtermaßnahmen auf Netzwerkebene und damit auch wieder für DATEVnet oder andere Firewalls blockierbar. Aber dann ist es eigentlich schon viel zu spät und das System unter fremder Kontrolle.

Bis vor kurzem war es noch relativ einfach möglich, DATEV Systeme vernünftig zumindest von der "bösen" Außenwelt abzuschotten. Leider ist das seit der Nutzung der Amazon Cloud durch DATEV selbst im Installationsmanager nahezu unmöglich geworden, da AWS/Cloudfront auch immer wieder zum Nachladen von Trojanern genutzt wird und damit eine normale DNS/IP basierte Sperre seine Wirkung komplett verliert.

Das ist sehr schade, da DATEV für ihre eigenen Programme bisher einen eigenen IP Adressbereich genutzt hat, was in den unterschiedlichsten Firewallarchitekturen relativ gut und einfach zu pflegen war.

Da wird ein geringer Nutzen für DATEV (Netzwerkauslastung, aber auch nur, weil die Programme immer größer werden!) zu einem riesigen sicherheitsrelevanten Problem für Steuerberater und deren Mandanten. Leider zeigen sich solche Probleme meist erst, wenn es schon zu spät ist. Es wäre schön, wenn DATEV die Konsequenzen solcher Auslagerungen besser analysiert oder sie am besten vorher zur Diskussion stellt und nicht einfach integriert, um an der falschen Stelle (aus meiner Sicht) ein paar Ressourcen einzusparen oder auszulagern.

Log4j Schwachstelle

Gelöschter Nutzer — Mon, 20 Dec 2021 13:21:07 GMT

@Stefanie_Herold

Danke für die Info's.

Ist angedacht von Java Abstand zu nehmen?

Ich hab zwar keine große Ahnung von programmieren, aber wenn man etwas die IT-Welt verfolgt ist Java seit Jahrzehnten eine "etwas" kritische Dauerlücke.. mal mehr, mal weniger.

Seitdem Artikel von Herr Müller:

https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html

habe ich zumindest eine ungefähre Ahnung, warum das so ist.

Kurzum: gerade in den Cloudanwendungen vermutlich höchst problematisch.

Log4j Schwachstelle

Softwareprüfer — Mon, 20 Dec 2021 14:09:44 GMT

@Gelöschter Nutzer@agmü
https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html

Über diesen Artikel kann man auch komplett anderer Meinung sein.

Ich versuche mal, es für alle technisch nicht ganz so versierten Mitleser an einem Beispiel klarzumachen :

Wenn Sie im Auto einen USB Anschluss für das Abspielen von Musik haben und dort einen USB Stick anschließen, auf dem zusätzlich auch noch eine HTML Datei (Webseite) abgelegt ist, dann erwarten Sie auch nicht, dass diese vom Mediensystem des Autos „geparst“ und dann auf dem Display des Navis angezeigt wird. Aber genau so etwas Ähnliches ist passiert bei Log4J.

Diese zusätzliche Eigenschaft mag für einige Situationen sinnvoll erscheinen, sicherheitstechnisch ist sie eine absolute Katastrophe und ich finde, ein Programmierer, der nur die Log4J Bibliothek benutzt, muss nicht unbedingt damit rechnen, dass hier ein solches Parsing existiert. (Natürlich sollte er es prüfen)

Inzwischen ist die Funktion ja auch komplett entfernt und damit ersichtlich, dass sie für die normale Funktion überhaupt nicht notwendig ist. Von daher finde ich den Artikel vor allem für Nicht-Programmierer zum Teil ziemlich irreführend.

Bei dem Rest bin ich zu 100% bei Ihnen. Java ist eine Dauerbaustelle und Cloudanwendungen sind generell viel anfälliger für solche Lücken.

Log4j Schwachstelle

Steuermann10 — Mon, 20 Dec 2021 14:04:29 GMT

Hat schon jemand den aktuellen Hotfix von heute installiert? Kann das während des laufenden Betriebes passieren oder erfordert es einen Neustart?

Eigentlich soll es ja keinen Neustart bei Hotfixes geben, aber beim letzten wurde bei mir auch einer angefordert. Andere Benutzer haben davon ebenfalls berichtet.

Log4j Schwachstelle

danlen — Mon, 20 Dec 2021 14:05:39 GMT

Also hier erfordert es einen Neustart.

Log4j Schwachstelle

Stefanie_Herold — Mon, 20 Dec 2021 14:35:20 GMT

@Steuermann10 schrieb:
Hat schon jemand den aktuellen Hotfix von heute installiert? Kann das während des laufenden Betriebes passieren oder erfordert es einen Neustart?

Eigentlich soll es ja keinen Neustart bei Hotfixes geben, aber beim letzten wurde bei mir auch einer angefordert. Andere Benutzer haben davon ebenfalls berichtet.

Auf sauber gepflegten Systemen ist eigentlich kein Neustart notwendig - das haben unsere Tests eben nochmal bestätigt.

Ich vermute aber mal, dass Sie in der aktuellen Situation einfach sehr viele Updates von allen möglichen Anwendungen auf Ihre Systeme bekommen und dadurch in Summe dann Neustarts notwendig werden.

Log4j Schwachstelle

id_norderstedt — Mon, 20 Dec 2021 14:54:25 GMT

Guten Tag Frau Herold,

sind die Hotfixe zwingend über die Hotfix-Installation zu machen oder kann ich sie an den Rechnern auch manuell starten?

Viele Grüße

Inga

Log4j Schwachstelle

grandfunck — Mon, 20 Dec 2021 15:05:47 GMT

Danke Frau Herold,

aber gleich wieder fix Hotfix bereit stellen, dass hätte aus meiner Sicht nicht unbedingt sein müssen ;-).

Es hilft ja nix und lieber über die Community sehr zeitnah informiert werden als zu spät oder gar nichts machen.

PS.: Kann es sein, dass nicht für alle Nutzer heute wieder Hotfixes bereit gestellt wurden? Zumindest konnte ich nicht keine downloaden, werde aber immer mal wieder nachprüfen.

Log4j Schwachstelle

Andreas_Huxhagen — Mon, 20 Dec 2021 15:29:26 GMT

Hallo @id_norderstedt ,

wir empfehlen, die Hotfixes über die entsprechenden Assistenten zu installieren.

Eine Beschreibung dazu finden Sie in unserem Hilfe-Center: Benutzerdefinierte Hotfix-Installation

Im Assistent kann ausgewählt werden, ob man die Hotfixes nur auf diesem Rechner installieren möchte oder (wenn vorhanden) im gesamten Netzwerk.

Hier ist natürlich auch unsere Empfehlung, die Hotfixes schnellstmöglich im ganzen Netzwerk zu installieren.

Log4j Schwachstelle

grandfunck — Mon, 20 Dec 2021 16:20:45 GMT

Moin nochmal,

ein weiterer Versuch und ich konnte denn Hotfix ...-01760 downloaden. Auch hier wurde bei der Installation ein Neustart (auf dem PtPServer) gefordert.

PS: Anzeige bei Installation sinngemäß "Workstation braucht keinen Hotfix", an der WS dann aber "Installation ist vorgesehen" und startet auch den Hotfix incl. Neustart des Rechners. Eigentlich waren m. E. n. die Rechner auf neuem Stand.

Log4j Schwachstelle

vogtsburger — Mon, 20 Dec 2021 16:17:32 GMT

@Dirk_Jendritzki schrieb:
... Der Hinweis selbst wird aktuell auf jeder Inhaltsseite angezeigt, ...

... der Hinweis taucht zwar auf jeder Inhaltsseite und in jedem Thread auf, allerdings nur ganz oben.

Threads können aber sehr lang sein, viele Bildschirmseiten, bis zu 50 Posts (einstellbar).

... ob man dann den wichtigen Hinweis gaaaanz oben entdeckt, ist eher Glücksache, von der Auffälligkeit mal abgesehen.

... ich selbst springe normalerweise meist nur direkt zu den letzten ungelesenen Posts, wo aber dieser Hinweis nicht 'auftaucht'.

... ideal wäre, wenn solche wichtigen (akuten) Nachrichten automatisch bei bestimmten Aktionen eingeblendet würden, z.B. für 2-3 sec, oder wenn wenigstens ein auffälliges und anklickbares Symbol permanent zu sehen wäre, z.B. rechts oben zusätzlich zu den 3 vorhandenen Buttons

Log4j Schwachstelle

Dirk_Jendritzki — Mon, 20 Dec 2021 16:28:05 GMT

@vogtsburger schrieb:

@Dirk_Jendritzki schrieb:

... Der Hinweis selbst wird aktuell auf jeder Inhaltsseite angezeigt, ...

... ich selbst springe normalerweise meist nur direkt zu den letzten ungelesenen Posts, wo aber dieser Hinweis nicht 'auftaucht'.

Von der Startseite aus, richtig? Aber da ist der Hinweis ja auch zu sehen.
Jetzt lassen Sie uns erst Mal die Farbe machen 😉

Log4j Schwachstelle

d_kuehn — Mon, 20 Dec 2021 17:12:06 GMT

Wir hatten gestern die Hotfixes installiert. Neustart erforderlich.

Heute den neuen Hotfix installiert. Neustart erforderlich.

Log4j Schwachstelle

Michael-Renz — Mon, 20 Dec 2021 17:36:27 GMT

Liebe Frau @Stefanie_Herold ,

ich finde es toll, wie Sie und die dahinter stehende Mannschaft das Thema hier betreuen und wie schnell sie den wirklich sinnvollen Vorschlag zur Verbesserung der "Banner-Mitteilung" umgesetzt haben.

Zu dem aktuellen Hotfix (heute seit 14:00 Uhr) muss ich Ihnen allerdings widersprechen!

Es ist in einer virtualisierten und am Sonntag 19.12. vollständig upgedateten und durchgerooteten Umgebung auf jedem Server (Win 2016 neuestes Patchlevel) ein Neustart nötig geworden.

Das ist natürlich nicht schlimm, aber sollte vorsichtshalber insoweit berücksichtigt werden, dass bei sofortiger Installation die Mitarbeitenden "gewarnt" und ggf. mit "Nicht-EDV-Tätigkeiten" (sofern es solche in der Kanzlei noch gibt) betraut werden.

Ich konnte den automatischen Neustart nach (glaub 50 sek) grade noch abbrechen und für ein geordnetes Abmelden der Mitarbeitenden Sorge tragen. Den nächsten Hotfix mach ich vorsichtshalber nach Dienstschluss.

Log4j Schwachstelle

peter — Mon, 20 Dec 2021 18:04:54 GMT

Hallo,

kann ich bestätigen, auch hier wurde bei jedem Server ein Neustart verlangt.

Log4j Schwachstelle

Stefanie_Herold — Mon, 20 Dec 2021 18:08:06 GMT

Ich hab meine Kollegen zum Thema Neustart nach den Hotfixes nochmal gequält.

Anscheinend ist es so, dass wenn die DLLs, die ausgetauscht werden sollen, gerade durch eine Anwendung in Benutzung sind, dies zum Neustart führt.
Genauer konnte ich es noch nicht rauskriegen und melde mich dazu morgen nochmal.

Installation nach Dienstschluss scheint dann aber auf jeden Fall ein guter Plan zu sein 👍

Viele Grüße und einen schönen Abend 🌟

Stefanie Herold

Log4j Schwachstelle

Stefanie_Herold — Mon, 20 Dec 2021 18:22:58 GMT

@Softwareprüfer schrieb:
@Stefanie_Herold
DATEVnet bietet einen grundsätzlichen Schutz gegen Angriffe von außen und prinzipiell auch gegen Angriffe über die Log4j-Lücke
Es tut mir leid, Ihnen hier widersprechen zu müssen, aber der Angriff bei Log4j erfolgt ja normalerweise gerade nicht über den sonst oft benutzten Weg des direkt eingehenden Netzwerkverkehrs. Auch ist diesmal kein ausgehender Zugriff auf ein "bösartiges" System für einen erfolgreichen Angriff notwendig.
Das bedeutet, dass die bisherigen Filter von DATEVnet wie auch von anderen Firewallsystemen eine Infektion so einfach nicht verhindern können. Der einzige Nutzen läge im späteren Unterbinden der Kommunikation mit einen C&C Server, wenn nach erfolgreicher Kompromittierung des Systems die Schwachstelle nicht direkt ausgenutzt wird, sondern eine Hintertür eingebaut werden sollte, was bei dieser Art der Lücke nicht unwahrscheinlich ist (ich würde es zumindest als Hacker so machen).
Dann wäre die Hintertür eventuell durch Filtermaßnahmen auf Netzwerkebene und damit auch wieder für DATEVnet oder andere Firewalls blockierbar. Aber dann ist es eigentlich schon viel zu spät und das System unter fremder Kontrolle.
Bis vor kurzem war es noch relativ einfach möglich, DATEV Systeme vernünftig zumindest von der "bösen" Außenwelt abzuschotten. Leider ist das seit der Nutzung der Amazon Cloud durch DATEV selbst im Installationsmanager nahezu unmöglich geworden, da AWS/Cloudfront auch immer wieder zum Nachladen von Trojanern genutzt wird und damit eine normale DNS/IP basierte Sperre seine Wirkung komplett verliert.
Das ist sehr schade, da DATEV für ihre eigenen Programme bisher einen eigenen IP Adressbereich genutzt hat, was in den unterschiedlichsten Firewallarchitekturen relativ gut und einfach zu pflegen war.
Da wird ein geringer Nutzen für DATEV (Netzwerkauslastung, aber auch nur, weil die Programme immer größer werden!) zu einem riesigen sicherheitsrelevanten Problem für Steuerberater und deren Mandanten. Leider zeigen sich solche Probleme meist erst, wenn es schon zu spät ist. Es wäre schön, wenn DATEV die Konsequenzen solcher Auslagerungen besser analysiert oder sie am besten vorher zur Diskussion stellt und nicht einfach integriert, um an der falschen Stelle (aus meiner Sicht) ein paar Ressourcen einzusparen oder auszulagern.

Hallo @Softwareprüfer,

damit ich Ihnen antworten kann, musste ich mich erstmal bei ein paar Kollegen technisch aufschlauen 😊

Wenn ich es richtig verstanden habe, geht es Ihnen um den Fall, dass wir mit dem Softwareabruf im Installationsmanager über die uns bekannten IP-Adressen der AWS-Plattform kompromittierte Installationsdateien herunterladen und dann über DATEVnet nur den Folgeschaden verhindern könnten. Richtig?

An der Ecke kann ich Sie in insofern beruhigen, als dass wir vor dem Download den Hashwert der angeforderten Dateien überprüfen und erst nach Übereinstimmung der eigentliche Download stattfindet.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

vogtsburger — Mon, 20 Dec 2021 19:40:50 GMT

@Dirk_Jendritzki schrieb:
... Von der Startseite aus, richtig? ..

... manchmal ja, ........ oft aber auch nein

... da ich oft "eingeloggt bleibe", sind i.d.R. bereits 1 oder mehrere Fenster mit Community-Threads dauerhaft geöffnet.

Ich springe dann nur zu den neuesten (ungelesenen) Posts oder ich lasse den "Benachrichtigungs-Feed" anzeigen (Symbol "Glocke") und springe dann von dort direkt zum entsprechenden Post

... aber mein eigenes Nutzungsverhalten ist natürlich nicht unbedingt repräsentativ für die Mehrheit der Community-Mitglieder

... wenn die Meisten hier keinen Optimierungsbedarf sehen oder wenn die Änderung programmiertechnisch zu aufwändig wäre, dann ist das auch ok ...

... jeder hat eben seinen eigenen, individuellen 'Tunnelblick' und seine eigenen 'Trigger'

edit:

... man könnte eben zukünftig auch andere wichtige "ad hoc"-Nachrichten ("breaking news") auf diese Weise schnell 'an den Mann oder an die Frau bringen', z.B. auch aktuelle Störungen im RZ oder Sonstiges

Log4j Schwachstelle

Softwareprüfer — Mon, 20 Dec 2021 23:27:00 GMT

@Stefanie_Herold schrieb:

Wenn ich es richtig verstanden habe, geht es Ihnen um den Fall, dass wir mit dem Softwareabruf im Installationsmanager über die uns bekannten IP-Adressen der AWS-Plattform kompromittierte Installationsdateien herunterladen und dann über DATEVnet nur den Folgeschaden verhindern könnten. Richtig?

Hallo @Stefanie_Herold ,

erstmal vielen Dank für die schnelle Rückmeldung und den Versuch, dieses brisante Problem zu verstehen und an die richtige Stelle weiterzuleiten, da die bisherigen Versuche über den Firstlevel Support von DATEV leider komplett gescheitert sind.

Es geht nicht um die Absicherung oder Überprüfung der Downloads, sondern um die Absicherung der Netzwerkverbindungen von und zu DATEV.

Vor der Umstellung durch DATEV auf Amazon AWS war es einfach möglich, über eine Firewall den ein- und ausgehenden Netzwerkverkehr des DATEV Systems auf sichere Gegenstellen (DATEV, Elster & Co) zu beschränken. Damit konnte das Nachladen und die Kommunikation von Trojanern oder das Ausnutzen eines ZeroDay Exploids wie Log4j auf den Datev Systemen nahezu zu 100% ausgeschlossen werden. (Es sei denn ,die DATEV wird selbst infiziert, was ich hoffe, ausschließen zu können)

Dieses Sicherung ist seit der Auslagerung auf Amazon AWS aus 2 Gründen fast unmöglich bzw. sogar teilweise kontraproduktiv geworden :

1. Die von Amazon und damit neuerdings auch von Datev verwendeten IPV4 Adressen sind weit über 1000 und es kommen ständig neue hinzu. Was für andere Anwendungen wie Telegram & Co von Vorteil ist, weil sie damit in totalitären Systemen schwer geblockt werden können, ist bei der Absicherung von DATEV Systemen ein riesengroßer Nachteil. Ich will nicht zu fachlich werden, aber ein weiteres Problem für die Firewall ist die fehlende Reverse DNS Auflösung der AWS Server in Richtung DATEV. Eine externe Firewall kann also nicht so einfach erkennen, ob es sich um ein reguläres DATEV Ziel handelt.

2. AWS Server wurden leider in der Vergangenheit auch häufiger schon für das Nachladen und die Kommunikation von Trojanern benutzt, da kompromittierte AWS Konten dafür misbraucht werden konnten. Dadurch reißen die von DATEV im Installationsmanager zwingend erforderlichen Freigaben für die AWS Gegenstellen ein großes Loch in die lokale Firewall. Dieses Problem müsste eigentlich auch DATEVnet genauso betreffen.

Der Vorteil für Datev durch diese Umstellung dürfte in keinem Verhältnis zum Nachteil bei der Absicherung von DATEV Systemen stehen, denn diese Art von Schwachstellen werden in der Zukunft mit Sicherheit eher noch zunehmen und damit eine gut eingestellte Firewall immer wichtiger werden.

Viele Grüße

Log4j Schwachstelle

vogtsburger — Tue, 21 Dec 2021 08:29:36 GMT

Nachtrag:

... bei der Farbwahl für das weiß-blaue Hinweisfenster muss sicher auch berücksichtigt werden, dass weiß-blau in Bayern 'eine gewisse Bedeutung' hat.

... vielleicht gibt es ja auch entsprechende Verwaltungsvorschriften 😎

Log4j Schwachstelle

vogtsburger — Tue, 21 Dec 2021 11:22:16 GMT

... habe soeben einem selbstbuchenden Mandanten (stolzer Anwender von "Mittelstand Faktura mit Rechnungswesen") beim Download und beim Installieren der Hotfixe per Fernbetreuung geholfen.

... es war zunächst unklar, ob wieder ein Riesenpaket von 2,x GB heruntergeladen werden muss

... nein, es waren nur die kleinen Hotfixe

... irritierend war aber, dass nach dem Anklicken von "Arbeitsplatzinstallation" der Hotfixe zunächst 'Ruhe im Karton' war. Es passierte einfach nichts, null, nada, niente ...

... erst nach einem freiwilligen manuellen Neustart begann die Hotfix-Installation, die danach mit einem erneuten Neustart 'belohnt' werden wollte.

... insgesamt zeitlich nur sehr wenig Aufwand, das war positiv ...

Log4j Schwachstelle

Stefanie_Herold — Tue, 21 Dec 2021 12:56:26 GMT

Hallo zusammen,

ich habe mich zum Thema Neustart nach Installation der DATEV-Hotfixes nochmal mit meinen Kollegen ausgetauscht.

In weiteren Test hat sich folgende Erkenntnis herauskristallisiert:

Zwar braucht der aktuelle DATEV-Hotfix für die darin enthaltenen Komponenten keinen eigenen Neustart
Wurde aber durch die Installation eines Updates oder Hotfix vorher bereits ein Reboot-Auftrag hinterlegt, wird dieser dann durchgeführt. Dies kann zum Beispiel auch durch das Windows-Update hinterlegt worden sein.
Hinzu kommt dann noch, dass viele Programme bereits beim Starten des Rechners, Dateien zum Löschen in die so genannten PFRO eintragen, was unsere Installation dann ebenfalls zu einem Neustart bringt.

In Summe lässt sich also sagen, dass in der aktuellen Zeit durch sehr viele Updates es praktisch in vielen Fällen zu einem Reboot kommen wird und es auf jeden Fall eine gute Idee ist, die Installation entweder in der Mittagspause oder nach Arbeitsende anzustoßen.

Das macht uns mit der Hotfix-Installation dann zum Überbringer der Reboot-Botschaft 😔

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

witte — Tue, 21 Dec 2021 13:06:15 GMT

Muss ich die Hotfixes vom 20.12. auf dem DATEV-Server, der kein Arbeitsplatz ist, ebenfalls einspielen?

Log4j Schwachstelle

peter — Tue, 21 Dec 2021 13:24:26 GMT

Hallo,

wenn es im Inst.Manager angezeigt wird würde ich es auf jede Fall installieren - und bei mir am Server (ebenfalls kein Arbeitsplatz) wurde das Hotfix BK140029-01760 angezeigt.

Log4j Schwachstelle

Stefanie_Herold — Tue, 21 Dec 2021 14:10:46 GMT

Hallo @Softwareprüfer,

die elektronische Softwareauslieferung nutzt wie schon gesagt ein Hashwertverfahren, welches eine Prüfsumme über die RZ-Kommunikation, also auf einem zweiten gesicherten Weg erhält. Damit ist eine Verfälschung der ausgelieferten Programmpakete nur durch zwei von einander unabhängige erfolgreiche Angriffe möglich.

DATEVnet liefert zusätzliche allgemeine Sicherheits-Features, die die Wahrscheinlichkeit eines erfolgreichen Angriffs auf ein Minimum reduzieren:

Keine Ports, auf denen DATEVnet-geschützte Systeme Requests entgegennehmen
DATEVnet als DMZ
Webradar
Mailradar

Alles Weitere würde hier technisch zu sehr in die Tiefe führen. Ich kann Ihnen aber einen persönlichen Austausch mit unseren Experten anbieten. Wenn Sie daran Interesse haben, senden Sie mir bitte Ihre Kontaktdaten über eine persönliche Nachricht.

Viele Grüße

Stefanie Herold

Log4j Schwachstelle

Gelöschter Nutzer — Tue, 21 Dec 2021 15:14:22 GMT

Weiter gehts:

https://www.heise.de/news/Log4j-Angriff-auf-Netz-des-belgischen-Verteidigungsministeriums-6300519.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag

Log4j Schwachstelle

agmü — Tue, 21 Dec 2021 15:31:31 GMT

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

liefert weitere Erkenntnisse

Log4j Schwachstelle

janm — Tue, 21 Dec 2021 18:51:15 GMT

@Softwareprüfer : Bei einer halbwegs modernen Firewall / UTM / Proxy sollten sich Host- / DNS-Whitelists abbilden lassen. Dann reicht:

HTH

Jan

Log4j Schwachstelle

Softwareprüfer — Wed, 22 Dec 2021 14:00:44 GMT

Hallo @janm ,

ich hoffe, Sie haben meine Beiträge vollständig gelesen, denn genau das reicht leider seit der Umstellung von DATEV nicht mehr aus, bzw. ist es sogar kontraproduktiv.

DATEV und Trojaner/Viren nutzen jetzt die gleichen Serveradressen (Dafür kann DATEV natürlich überhaupt nichts) :

Der DATEV Installationsmanager ruft neue Software jetzt über die DNS Adresse swdownload-aws.datev.de ab. Diese wird standardmäßig als Alias von 4 redundanten, aber häufig wechselnden Adressen aufgelöst, die alle über folgende Namenskonvention verfügen :

xxxxxxxxxxxxxx.cloudfront.net

Die gleichen Adressen werden leider auch von Trojanern,Viren und Expoits über gekaperte Amazon Accounts verwendet, um Programmteile nachzuladen. Damit ist ein Whitelisting von cloudfront.net ziemlich gefährlich.

Und da diese Adressen über keinen Reverse DNS Eintrag zu datev.de verfügen, darf eine sicher eingestellte Whitelisting Firewall auch keine positive Entscheidung treffen. Früher wäre es noch möglich gewesen, über die DNS Abfrage zu datev.de die IP Adressen eine zeitlang mit Datev zu verknüpfen, aber seit DNSSEC ist auch dieses nicht mehr ohne Sicherheitseinbußen möglich.

Eigentlich hätten ALLE korrekt und sicher eingestellten Whitelist Firewalls seit der Änderung von Datev keinen schnellen Programmabruf aus dem Installationsmanager mehr machen dürfen (Es gab am Anfang noch einen Fallback auf einen echten DATEV Server, der aber beim Abruf extrem langsam war)

So schön die Redundanz bei Amazon Cloud auch ist, so problematisch ist sie für eine sichere Firewall Konfiguration.

Log4j Schwachstelle

Fassungsloser — Wed, 22 Dec 2021 17:00:24 GMT

Ich kann weder die eigene Bedrohungslage noch die der Lieferanten von Soft- und Hardware und von IT-Dienstleistern einschätzen und fühle mich dem "Treiben" der bösen Buben und bösen Mädels in den Hinterstuben und in den gut organisierten privaten oder staatlichen Hacker-Werkstätten irgendwo in der Welt völlig ausgeliefert.

Kann man vielleicht wenigstens darüber spekulieren, wo die größten Gefahren lauern ?

Auch auf den genannten Webadressen (Heise, Borncity, BSI und anderen) bewegt sich nicht viel.

Ich habe den Eindruck, dass alle mit einem Sturm rechnen, aber nicht wissen, ob es ein Tornado, ein Taifun oder ein Hurrikan wird.

Wer vernagelt die Türen und Fenster und wer hat einen Schutzbunker für die Zelt-, Wohnwagen-, Wohnmobil- und TinyHouse-Besitzer ?

Wenn sogar die diversen Cloud-Anbieter Probleme sehen bzw. haben und ziemlich hilflos ausgeliefert sind, frage ich mich, was man selbst noch mehr tun kann als zu sichern, sichern, sichern, möglichst einige Generationen und möglichst komplett.

Log4j Schwachstelle

agmü — Wed, 22 Dec 2021 18:31:02 GMT

Wenn Sie schreiben, dass Sie sich "gut organisierten privaten oder staatlichen Hacker-Werkstätten ... völlig ausgeliefert" fühlen, kann ich diese Wahrnehmung nachvollziehen.

Vielleicht hilft Ihnen der Bericht unter "Forschung aktuell - Computer und Kommunikation" des Deutschlandfunk vom vergangenen Samstag (Samstag 18.12.: 16:30 Uhr), das Problem besser zu verstehen.

Nach meiner Wahrnehmung hat die Software der DATEV nur dort "Probleme" wo auf Drittanbieter zurückgegriffen werden (musste).

Log4j Schwachstelle

Fassungsloser — Thu, 23 Dec 2021 08:07:20 GMT

@agmü

Nach meiner Wahrnehmung hat die Software der DATEV nur dort "Probleme" wo auf Drittanbieter zurückgegriffen werden (musste).

Meinen Sie nur die von der Datev selbst entwickelten Programme ?

Aber Datev verwendet doch jede Menge an "fremden" Software-Komponenten und jede Menge an Hardware, die jeweils auch wieder z.B. Firmware mitbringt und die mit weiterer Fremdsoftware verwaltet wird.

Auch direkt aus den Datev-Programmen heraus werden sicher permanent irgendwelche Funktionen in fremdentwickelter Software aufgerufen (z.B. Viewer, Druckaufbereitung, Authentifizierung, Treiber usw.)

Ich wüsste jetzt nicht, wie man eine klare Trennlinie ziehen könnte zwischen sicherer Datev-Software und unsicherer Fremd-Software, wenn dieses Modul "Log4j" flächendeckend im Einsatz ist

Vielleicht gibt es auch seriöse Software-Entwickler (z.B. Hasso-Plattner-Institut, Fraunhofer usw.), die "Penetrationstests" zur Verfügung stellen können, also absichtliche und massive Versuche, in IT-Systeme einzudringen, aber natürlich nur zum Aufdecken von Löchern im Netz

Log4j Schwachstelle

Christian_Buggisch — Thu, 23 Dec 2021 09:09:08 GMT

Hallo zusammen,

natürlich wird auch bei DATEV Software von Partnern und Drittanbietern verwendet. Bei unseren Analysen, Prüfungen und Maßnahmen haben wir aber nicht nur diejenige Software im Blick, die von DATEV selbst entwickelt wurde, sondern ebenso Software von Dritten, die wir verwenden und nutzen. Wir kümmern uns übergreifend um Updates und Patches auf sichere Versionen, sei es dass wir die Updates selbst durchführen können, sei es dass wir mit unseren Partnern im engen Austausch sind und die nötigen Maßnahmen abstimmen. Anwendungen und Dienste, für die wir Updates auf aktuelle Versionen nicht sicherstellen können, wurden/werden abgeschaltet.

Log4j Schwachstelle

cro — Thu, 23 Dec 2021 09:28:08 GMT

@Christian_Buggisch schrieb:
................................Anwendungen und Dienste, für die wir Updates auf aktuelle Versionen nicht sicherstellen können, wurden/werden abgeschaltet.

Gerade in diesem Thread wird ja fachlich wieder ordentlich ausgeteilt. Als IT-Laie empfinde ich diese historische Aussage der DATEV als sehr beruhigend. Vielen Dank.

Log4j Schwachstelle

vogtsburger — Thu, 23 Dec 2021 13:24:24 GMT

... ich werde am besten 'den Sand in den Kopf stecken' und warten bis der Sturm über mich hinweggefegt ist 😁

Log4j Schwachstelle

Fassungsloser — Fri, 24 Dec 2021 09:43:02 GMT

In Frankreich gibt es aktuell sogar einen erfolgreichen Ransomware-Angriff auf einen der großen, global agierenden, agilen IT-Dienstleister (INETUM)

Der Angriff betrifft angeblich aber nur Standorte in Frankreich.

Die Malware hatte wahrscheinlich Angst vor den Kontrollen an den Grenzen 😂

Wenn aber schon große und spezialisierte IT-Dienstleister massiv infiziert werden können, was können dann wir mit unseren kleinen LANs und PCs dagegen tun ?

Auf der Website von INETUM ist zum Glück der Standort "Deutschland" und die Sprache "deutsch" nicht wählbar. Also kann in Deutschland nichts passieren 😂

https://www.inetum.com/en/press/cybersecurity

Log4j Schwachstelle

Fassungsloser — Fri, 24 Dec 2021 11:58:44 GMT

noch ein schönes Beispiel, wie leicht man in eine Cloud-Plattform eindringen kann bzw. konnte ( Anfang 2021)

Die Cloud-Plattform wurde immerhin vom HPI entwickelt

https://www.heise.de/news/Datenlecks-in-der-HPI-Schul-Cloud-5061903.html

Log4j Schwachstelle

vogtsburger — Mon, 27 Dec 2021 10:11:11 GMT

... ich habe den Eindruck, dass das deutsche "Bildungswesen" und das deutsche "Gesundheitswesen" besonders kritische und angreifbare IT-Infrastrukturen hat

... kleines Beispiel gefällig ?

ich wurde vor einigen Wochen in den Verteiler eines Lehrer-Kollegiums aufgenommen, weil man offenbar bei der Erfassung der E-Mail-Adresse einer Lehrerin einen Punkt, einen Unterstrich, einen Bindestrich oder sonstwas vergessen hatte und daher erhalte ich seither sämtliche E-Mails, die die Direktorin der Gesamt-Schule mit den Personen dieser Verteilerliste austauscht, darunter natürlich auch viele Daten der Lehrer, der Schüler und deren Eltern, der Hygieneplanungen und Coronaschutzmaßnahmen, der Stundenpläne etc.

... unglaublich ...

... warum nicht gleich per Twitter alles "teilen" ?

P.S.

... mich selbst interessiert das alles nicht, aber es entsetzt mich, wie man mit solchen Daten umgeht ...

Log4j Schwachstelle

quantenjoe — Fri, 31 Dec 2021 01:54:07 GMT

Oh ja, Herr Vogtsburger

Bequemlichkeit geht über Sicherheit.

Was Sicherheit bedeutet, wissen viele nicht.

"Hauptsache es funktioniert" - Nebenwirkungen werden ignoriert.

und anderes mehr

Das erlebe ich immer wieder bei Mandanten.

Die Kanzlei hält sich an den Datenschutz. Ausnahmen davon lassen wir uns schriftlich bestätigen (und es gibt eine Menge dieser Ausnahmen). Immerhin beim Lohn haben wir uns durchgesetzt. War auch alternativlos.

Die Datev-Verschlüsselung (sprich Seppmail) ist nicht die schlechteste Lösung! Doof nur, dass Spamfilter inzwischen oft die secure-email.html filtern. Ist unbequem, denn die Mandanten müssen dann die Absenderadresse auf eine Whitelist setzen. Was Mandanten offenbar schon überfordert.

Sprich, meine Erkenntnis in all den Jahren ist: Sicherheit erfordert Aufwand. Und kaum wer ist bereit diesen Aufwand umzusetzen. Lieber das "Ist OK" geben. Ist doch bisher nichts passiert ....

Immerhin in "meiner Kanzlei" gibt es eine rege Nachfrage nicht nur nach Datenschutz gegenüber den Mandanten, sondern generell! Insbesondere auch von der Millenium-Generation. Diese Nachfrage bediene ich gerne und habe eifrige Zuhörer. Das stimmt mich vorsichtig positiv, muß ich gestehen.

Log4j Schwachstelle

vogtsburger — Wed, 05 Jan 2022 16:51:34 GMT

Microsoft warnt erneut vor Angriffen auf Log4j-Schwachstelle

... tut sich da was im Hintergrund oder war/ist das ein Sturm im Wasserglas ... ?

Log4j Schwachstelle

Christian_Buggisch — Wed, 05 Jan 2022 18:29:00 GMT

Hallo Herr Vogtsburger,

nein, das ist kein Sturm im Wasserglas, aber auch nichts Neues: Wer in seinen Systemen die Lücke nicht schließt, hat ein ernstes Problem. Daher ja auch die massiven Warnungen des BSI, das seit dem 16. Dezember die „Alarmstufe Rot“ ausgerufen hat und von einer „extrem kritischen Bedrohungslage“ spricht. Und darauf bezieht sich wohl auch die erneute Warnung von Microsoft.

Schönen Feiertag (und/oder schöne Restwoche)!

Log4j Schwachstelle

Gelöschter Nutzer — Wed, 05 Jan 2022 19:15:22 GMT

https://www.heise.de/amp/news/Sicherheitsluecke-Log4Shell-Internet-in-Flammen-6304730.html

Log4j Schwachstelle

vogtsburger — Mon, 07 Feb 2022 17:04:57 GMT

... inzwischen ist es ruhig geworden um das Thema Log4Shell / Log4j

Ich würde aber dennoch gerne wissen, ob noch irgendwelche Leichen oder Tretminen im eigenen 'Keller' liegen.

Es gibt Java-Tools, die zum Suchen von Log4j-Schwachstellen auf den eigenen Rechnern gedacht sind, aber mir stellen sich hier bloß ein paar Anfänger-Fragen, sorry :

Wie kann man mit Java-Tools nach Java-Schwachstellen suchen, wenn offenbar auf keinem der Rechner Java installiert ist ?
Kann man von der Log4j-Schwachstelle betroffen sein, obwohl kein Java installiert ist ?
Gibt es im Datev-OnPremise-Umfeld überhaupt noch Anwendungen, die Java voraussetzen ?

Ich weiß aber, dass diverse externe Anwendungen noch Java verwenden und bei Bedarf eine Java-Runtime-Umgebung mitinstallieren, z.B. "IW-ELAN" und Andere. Muss man dort ebenfalls aktiv werden ?

Vielleicht kann man ja auch mit Windows-Tools oder mit LINUX-CDs entsprechende Log4j-Detect- bzw. -Scan-Tools starten

... alles etwas undurchsichtig, wo man den 17er-Schlüssel ansetzen kann

Log4j Schwachstelle

agmü — Tue, 08 Feb 2022 07:03:28 GMT

@vogtsburger schrieb:

... inzwischen ist es ruhig geworden um das Thema Log4Shell / Log4j

Ich würde aber dennoch gerne wissen, ob noch irgendwelche Leichen oder Tretminen im eigenen 'Keller' liegen.
....

Sie kennen doch das Motto der Nachrichtenmacher: sobald ein Thema ausgeschlachtet ist, zieht die Karawane weiter, egal ob das Thema abgeschlossen ist, oder nicht

Wenn auf ihren Rechnern keine Java-Programme laufen sollten sie aktuell "relativ" sicher sein - oder anders gewendet: mehr geht derzeit nicht ohne selbst den Programmcode vollständig zum Zwecke der Fehlersuche zu dekompilieren.

@vogtsburger schrieb:
...
Ich weiß aber, dass diverse externe Anwendungen noch Java verwenden und bei Bedarf eine Java-Runtime-Umgebung mitinstallieren, z.B. "IW-ELAN" und Andere. Muss man dort ebenfalls aktiv werden ?....

Diese Bereiche sind eher die Tretminen bei denen Sie nur dadurch Sicherheit erlangen können, dass sie von der, in der Regel faktisch nicht existenten Möglichkeit, der Nichtnutzung gebrauch machen. Ansonsten sind die Einflussmöglichkeiten gering.

Wann die Schwachstelle endgültig behoben sein wird, hängt auch davon ab, ob dies tatsächlich final gewünscht wird. Ich sage nur mal das Stichwort "Bundestrojaner" und wie die Biester anderer Dienste noch so genannt werden.🤔 Mir wäre nicht bekannt, dass die aktuelle Bundesregierung von grundlegenden Sicherheitskonzept ihrer Vorgängerin abgewichen ist.

Log4j Schwachstelle

Nutzer_8888 — Tue, 08 Feb 2022 08:41:05 GMT

Vielleicht etwas naiv, aber müsste nicht mittlerweile jedes einigermaßen ernstzunehmende Antivirenprogramm mindestens die besagten "Nachladefunktionen" von externen Servern blockieren, wenn dies nicht explizit vom Nutzer für die jeweilige Anwendung erlaubt wird?

Außerdem sollten diese Programme ja auch beim Scan entsprechende Warnungen liefern? Was so ein Tool kann müssten die m.E. jedenfalls auch und eigentlich sogar besser können

Sicher muss das nicht immer der Garant sein, aber genau für sowas sind die da?!

Denke man sollte sich sich jetzt nicht weiter verrückt machen, abwarten und Tee trinken. Notfalls müssen halt die Backups mal gebraucht werden...

Log4j Schwachstelle

Stefanie_Herold — Tue, 08 Feb 2022 13:18:51 GMT

Hallo @vogtsburger,

ich hab mich bei unseren Experten nochmal nach dem aktuellen Stand erkundigt.

Im Kontext der DATEV-Programme gibt es derzeit keine bekannten Leichen im Keller. Die Version 2.17.1, die mit dem Hotfix am 20.01.2022 bereitgestellt wurde, ist nach wie vor die aktuellste Version.

Sich komplett „frei“ von Java zu machen, ist nahezu unmöglich. Eine Vielzahl von Programmen nutzt Java-Runtime und bringt diese auch mit. Auch in unserer DATEV-Basiskomponente „Basisdienste Ausgabe“, mit der die Auswertungen in den Anwendungen erzeugt werden, ist eine Java-Runtime im Einsatz.

Grundsätzlich sollte man natürlich bei jeder Software, die man einsetzt, immer auf neue Versionen bzw. Sicherheitslücken achten und diese auch installieren.

Viele Grüße aus Nürnberg

Stefanie Herold

Log4j Schwachstelle

vogtsburger — Mon, 05 Sep 2022 16:01:48 GMT

... nur mal kurz nachgefragt:

ist das Log4j-Thema in der Hitze des Gefechts ... ähm ... in der Hitzewelle des Sommers 'eingetrocknet' oder hat man doch noch irgend etwas (Negatives oder Positives) davon gehört ?

Bei mir steckt das Thema inzwischen auch in einem der 'hinteren Stübchen' des Gedächtnisses, aber ich wurde zuuufällig wieder daran erinnert als ich mit den diversen Tools zur Verwaltung der Brother-Scanner in der Kanzlei zu tun hatte

Log4j Schwachstelle

agmü — Mon, 05 Sep 2022 17:36:39 GMT

Gehört habe ich zu diesem Thema nichts mehr wirklich neues.

Meine Vermutung lautet: die zuverlässigen Softwarehersteller haben die Schwachstelle beseitigt und bei den unzuverlässigen steht das Scheunentor noch offen.

Wenn Sie sich die Startseite von Apache ansehen, scheint das log4net eine andere Software zu sein.

Log4j Schwachstelle

vogtsburger — Mon, 05 Sep 2022 19:29:16 GMT

@agmü schrieb:
[...] Wenn Sie sich die Startseite von Apache ansehen, scheint das log4net eine andere Software zu sein [...]

ich kenne mich in den Details nicht aus und dachte erst, log4j und log4net hätten nichts miteinander zu tun, aber ich hatte auch Fundstellen, bei denen beide Begriffe 'in einen Topf geschmissen' wurden

auf der genannten Website von Apache steht Folgendes

Apache Log4Net
A port of the original Apache log4j framework to the Microsoft .NET runtime

... wie gesagt: ich kenne die Details nicht, vielleicht zum Glück 😄

Log4j Schwachstelle

Thomas_Müller — Wed, 07 Sep 2022 15:00:44 GMT

Hallo Community,

aus der DATEV gibt es aktuell zu diesem Thema auch keine Neuigkeiten oder Veränderungen zu melden. Wir haben weiterhin einen sehr konzentrierten und aufmerksamen Blick auf die aktuelle Lage zum Thema "Verwundbarkeiten in OS-Komponenten".

Was wir natürlich nicht hoffen, wovor sich aber niemand zu 100% schützen kann, sollte sich eine ähnliche Situation wie zum Jahreswechsel 2021 auf 2022 abzeichnen, werden wir hier wieder in der DATEV-Community schnell und transparent informieren.

Viele Grüße Nürnberg

Thomas Müller