Hotfix B00001429-01750 Update für Jasper Runtime lässt sich mit Software-Stand 5.8.2021 nicht per Hotfix-Installation und nicht manuell installieren weil die benötigte Version 1.73.10 nicht installiert ist.

Also Komplettpaket mit Service Releases und Hotfixes.

Gut dass ich alle Installationstermine in die erste Januar-Woche gepackt hab, dann kann ich ja die gesparte Zeit jetzt dafür verwenden

Hallo @andreasmaier , 

das ist korrekt. Der Jasper Reports Hotfix lässt sich nur auf die Version von DATEV Basisdienste Ausgabe 6.12 installieren, welche mit dem Update Termin am 02.09. bereitgestellt wurde. Ich bin da jetzt kein Spezialist, aber meines Wissens können Sie im Expertenmodus im Installationsmanager auch den Servicerelease Stand vom 02.09. installieren. Siehe hierzu Hilfe Dokument 1005475 . 

Vielleicht kann sich hierzu aber auch noch ein Installations-Spezialist einklinken. 

Guten Morgen,

wir sind selbstbuchender Mandant und haben die Datev-Programme vor Ort.

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:

Logpresso CVE-2021-44228 Vulnerability Scanner 1.5.0 (2021-12-15)
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-45046 vulnerability in C:\Datev\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (BOOT-INF/lib/log4j-core-2.15.0.jar), log4j 2.15.0

Ist Elster noch sicher ?

Mit freundlichen Grüßen

Stephan

Hallo zusammen,

auf der Elster-Homepage heißt es:

ELSTER - Startseite

Und der ElsterAuthenticator ?

Am besten mal eine Mail an Elster-Support schicken, oder anrufen würde ich sagen.

Sie können ja das Feedback von Elster gerne hier allen mitteilen 🙂

---

@sne1965  schrieb:

 

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:

[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1

Ist Elster noch sicher ?

 

---

Guten Morgen,

ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂

Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.

Viele Grüße

Stefanie Herold

Guten Morgen,

ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.

Was kann ich ihm antworten?

MfG

C.Pohl

---

@clapohl  schrieb:

ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.

Was kann ich ihm antworten?

 

---

@clapohl 

Alle DATEV Cloud-Anwendungen werden seit Samstag laufend aktualisiert.  Speziell für DATEV Unternehmen online muss Ihr Mandant selbst nichts unternehmen.

Viele Grüße

Stefanie Herold

Was mir auffällt ist, dass im Vergleich zur Datev viele SW-Anbieter (gerade auch kleinere) sich kaum zur Betroffenheit/Nichtbetroffenheit von der Schwachstelle öffentlich äußern oder dies halt - wie beim ElsterPortal - nicht so ganz umfänglich tun.

Alles Outgesourcte scheint nicht mehr voll in der Kontrolle vieler SW-Anbieter zu sein und man scheint (oder mangels Kompetenz: muss) sich wohl blind  auf diese externen Partner zu verlassen?! Jeder versucht scheinbar den eigenen Rücken an die Wand zu bekommen. Hier muss bestimmt die Outsource-Strategie einiger Anbieter kritisch hinterfragt werden. Das wird ja leider nicht die letzte signifikante Schwachstelle sein?!

Es fällt mir auch auf, dass auf den Web-Seiten der Anbieter regelmäßig keine tauglichen Kontaktmöglichkeiten (Telefon, direkte Mail) mehr auffindbar sind, sondern bevorzugt KI-Roboter und Kontaktformulare verlinkt sind. Auch sind viele Antworten letztlich kaum glaubwürdig, weil - zumeist mangels Expertise - viel Vermutung heraushörbar ist. Für professionellen Kundensupport steht das nicht! - Bitte verzeiht dies Allgemeinheit!

Hier hebt sich die Datev m.E. deutlich positiv ab!!!

Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....

Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....

@Nutzer_8888 

das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.

Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.

Werden die DATEV-Anwendungen immer noch laufend aktualisiert? 

---

@boomboom  schrieb:

das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.

 

Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.

Werden die DATEV-Anwendungen immer noch laufend aktualisiert? 

---

Unser SOC schläft nie 

Und wenn dringende sicherheitsrelevante Anpassungen notwendig sind, sind Urlaube im Notfall ganz schnell beendet... Beim Thema Security verstehen wir überhaupt keinen Spaß‼️

@Stefanie_Herold 

da habe ich auch nicht Datev mit gemeint :-). Dennoch bin ich etwas verwundert, dass Datev noch im Patchprozess hängt.

Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?

Hoffen wir mal, dass alles unauffällig bleibt. Andernfalls könnte man aber wenigstens sagen, dass man gehobelt hätte ....

@Nutzer_8888 

bei uns waren wir, mit etwas glück, nie angreifbar für den hack, da das programm nur mit local clients spricht und nicht auf anfragen von xyz.. wurde allerdings auch mal aktiv so eingestellt. 

mal abgesehen davon ist unsere it und programmvielfalt überschaubar.. in grossen oder nicht aktiv betreuten umgebungen bestimmt spannender..

dies updatemanagement von java ist nicht so trivial.. schrieb mal jemand.

ungeachtet der zeitnahen Reaktion durch die DATEV wird mir bei diesem, auf heise.de zum Thema Log4j Schwachstelle auffindbaren, Kommentar aus anderen Gründen mulmig.

Entweder verstehe ich die Ausführungen falsch oder die "Schwachstelle" in Log4j ist gar kein Bug, sondern es wird "lediglich" eine Schnittstelle die dem Soll-Zustand entspricht "missbraucht". 

Die Richtigkeit unterstellt wäre der eigentliche "Fehler" in der grundlegenden Funktionsweise der Software zu suchen.  Weitere Folge wäre, dass kein Patch, diese Funktionsweise (auf die schnelle) beheben kann, denn dann wäre die Software nicht mehr lauffähig.  

Über die weiteren Konsequenzen will ich dann nicht nachdenken.

Ich hoffe ich verstehe dieses Ausführungen "nur" falsch.

@agmü

"Zudem wird der betroffene Teil der Log4J Bibliothek (das Ausführen von externem Code)
in xxx an keiner Stelle verwendet. Der xxx Server nutzt in der Standardkonfiguration Log4J nicht."

Aussage eines Supportteams...

es kommt immer drauf an, wo wie usw. das teil genutzt wird.

@agmü,

Sie verstehen da nichts falsch. Das ist JAVA. Viele Klassen und keine Ahnung wie die verbunden sind. Nur ein Aufruf mit Übergabe der Parameter.

Eine JAVA Programmierer hat mal versucht mir das zu erklären, mit Pascal und C Logik bin ich da nicht durchgestiegen und erklären, was wann und wie aufgerufen und zurückgeliefert wird konnte er auch nicht. Es kam nur: "Das rufe ich so auf und dann geht es."

Danach habe ich für mich beschlossen das JAVA nix für mich ist, das Steuerrecht hat mindestens genau so viele schwarze Löcher, da brauche ich keine zusätzlichen.

Erstmal ein Kudo für den trockenen Humor 😂

Vielleicht sollte man angesichts der Lage auch darüber nachdenken Landschaftsgärtner zu werden, so wie der Autor des Heise-Artikels...

... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll

... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?

... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht

... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken 

Hallo an Alle,

überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.

Ist diese App auch von der Log4Shell betroffen? 

Grüße

Chris

---

@vogtsburger  schrieb:

 

... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll

 

... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?

 

... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht

 

... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken 

 

 

---

Das ist genau die Frage:  Ich verstehe den Kommentar so, dass im Sinne des Systemdesign unklar (work as designed) ist, welche Aktionen wann, wo und wie ausgeführt werden. Daher erscheint es mir unmöglich die "Aktionen auf das Unverzichtbare oder Alternativlose" einzuschränken. 

... ja, die Java-Aktionen sind anscheinend nicht kontrollierbar oder selektierbar,

aber ich meinte eigentlich meine eigenen 'Aktivitäten', also die Verwendung bestimmter Tools und Programme.

... wenn natürlich Java-Funktionen in zentralen Software-Komponenten verwendet werden, z.B. bei jeder Erstellung irgendeiner Auswertung oder beim Drucken etc. dann wäre das ein Spiel mit dem Feuer

... mir ist auch nicht ganz klar, ob diverse JAVA-Funktionen grundsätzlich mit Diensten im Internet kommunizieren (müssen), um überhaupt zu funktionieren

... dass sie also permanent irgendwo Spuren hinterlassen und entsprechende Systeminformationen, ip-Adressen, Betriebssystem, DNS-Server-Adressen etc. 'verraten'

---

@Stefanie_Herold  schrieb:

---

@sne1965  schrieb:

 

Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:

[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1

Ist Elster noch sicher ?

 

---

Guten Morgen,

ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂

Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.

 

Viele Grüße

Stefanie Herold

---

Hallo zusammen,

wir haben alle Verwendungen des  ERiC-Clients geprüft. Von unserer Seite wird der ELSTER-Authenticator nicht mitgebracht und auch nicht nachgeladen.
Heißt: Der Authenticator kommt entweder über eine nicht-DATEV-Software oder evtl. auch direkt über ELSTER-Module.

Viele Grüße

Stefanie Herold

Beim ElsterAuthenticator steht sinngemäß, dass eine betroffene Version von log4j eingesetzt wird, aber nicht ausgenutzt werden kann - bisher kein Update

Infoseite elsterauthenticator 

@agmü

kris ist ein hervoragender Erklärbär für solche Sachen. Alleine seine bildliche Darstellung mit der Phrase: "Man muss sich das wie einen Dreijährigen vorstellen, der sich jede Klasse in den Mund steckt, um herauszufinden, wie sie schmeckt und ob sie sich ausführen lässt." trifft es. Also ja: Sie verstehen das richtig.

(Hint an die DATEV: kris ist übrigens sehr erfahren mit großen RZ und Datenbanken. Falls ihr also mal eine guten Einschätzung eines fremden Dritten braucht...)

---

@c_k_  schrieb:

überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.

Ist diese App auch von der Log4Shell betroffen? 

---

Hallo @c_k_ 

das Update für die SmartLogin App hat nichts mit Log4Shell zu tun 🙂

Es ist ein ganz normales Update und bringt z.B. den Landscape-Mode bei iOS (incl. automatisches Drehen) und eine Verbesserung der Mailanbindung bei der Registrierung mit 👍

VG aus Nürnberg

---

@boomboom  schrieb:

Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?

---

In meinen Augen ist das Interpretationssache, was man unter bedingt bis gar nicht versteht.

DATEVnet bietet einen grundsätzlichen Schutz gegen Angriffe von außen und prinzipiell auch gegen Angriffe über die Log4j-Lücke, der aber keinesfalls ausreichend ist und es ohnehin keinen vollumfänglichen Schutz geben kann. 

Konkret

• blockiert DATEVnet eingehende Verbindungen (sofern nicht Portfreischaltungen existieren)
• sperrt Zugriffe von IP-Adressen, die bekanntermaßen „bösartig“ sind, aktualisiert diese Sperrlisten fortlaufend und loggt Zugriffsversuche von solchen IP-Adressen

Vollständige Abhilfe bietet nur die Behebung der Sicherheitslücken in allen betroffenen Systemen - auch nicht-DATEV-Software, die ggf. auf dem gleichen Rechner läuft.

Viele Grüße aus Nürnberg