@agmü ,

... hatte auch nicht mehr auf dem Schirm, dass heute zufällig auch die neuen Service-Release  (Jahreswechsel-Versionen) zur Verfügung gestellt wurden

... konnte also "benutzerdefiniert" (selektiv) die Hotfixe abrufen, um mir nicht den Abend mit Datev-Installationen zu 'verderben'

... die netzweite Hotfix-Installation ist aber leider in letzter Zeit auch kein ungetrübtes Vergnügen mehr

... diesmal wollte auch wieder ein Viertel der Datev-Arbeitsplätze nicht automatisch aktualisieren, trotz manuellem Neustarten der betreffenden PCs und auch nicht nach manuellem Login als Administrator, auch nicht nach Wiederholung der netzweiten Hotfix-Installation.

Erst ein manuelles Starten der jeweiligen Hotfix-Arbeitsplatz-Installation führte zum Ziel.

... keine Ahnung, warum es in letzter Zeit immer ein paar Kandidaten unter den Clients im Client-Server-Netz gibt, die nicht wie die Lemminge dem Admin-PC hinterherlaufen (wollen).

Moin,

ich würde heute auch gern nur die Hotfixes gegen Log4j installieren. Weiß jemand, welche das sind? Die Info finde ich nicht.

Gruß aus Hamburg

Hallo Herr @vogtsburger ,

dass einer der Clients nicht mehr die netzweite Updateroutine mitmachen wollte, hatte ich auch. 
Dabei habe ich festgestellt, dass dieser PC nicht mehr als „aktivierter Terminalclient“ erkannt wird. Wie es dazu kam, ist mir unerklärlich und lässt sich aus den Installationsprotokollen auch nicht nachvollziehen. 
Ich habe ohne vorsichtshalber „platt gemacht“ und komplett neu aufgesetzt - seither wieder alles im Lot und er installiert auch wieder mit dem Netzauftrag.

---

@vogtsburger  schrieb:

@agmü ,

 

... konnte also "benutzerdefiniert" (selektiv) die Hotfixe abrufen, um mir nicht den Abend mit Datev-Installationen zu 'verderben' ...

...

---

kann man so machen, wenn man mit Überraschungen rechnen muss und die Zeit übrig hat sich auch mit solchen "Problemen" zu beschäftigen; nicht aber, wenn eigentlich nur eine Sicherheitslücke gestopft werden soll und der Schreibtisch und Terminkalender mit - wie nannte es vor längerer Zeit schon einmal jemand - der Erwirtschaftung des Kostendeckungsbeitrag beschäftigt sein sollte.

Hallo @zippo ,

hier finden sie die entsprechenden Hotfix-Beschreibungen. Vielleicht hilft Ihnen das weiter.

Herzlichen Dank!

Hallo,

ich brauche bei zwei Steuerbüros den Hotfix B0001429-01920 der wird mir da nicht angezeigt.

Gruß

Eddi

Moin,

für Jasper gibt es verschiedene Hotfixes. Es wird wohl nur das angezeigt, das zur installierten Version passt.

Leider ist das für das Anwaltspostfach nicht so. Da gibt es nur einen Patch für die 12.14.

Gruß aus Hamburg

... ehrlich gesagt war mir gar nicht bewusst, dass Java immer noch in diversen Anwendungen eingesetzt wird, z.B. für die Druckausgabe

... früher gab es mit "HAUFE Steuer Office Kanzlei-Edition" öfter mal Zickenkrieg mit Java. aber bei Datev läuft mir Java nie über den Weg, jedenfalls nicht bei Tageslicht 😉

... deshalb hatte es mich überrascht, dass Java offenbar bei vielen Prozessen 'mitmischt'

.. gibt es noch andere 'gängige' Software-Produkte, die man unbedingt anfassen sollte ?

 Nachtrag:

... kann man mit automatisch zur Verfügung gestellten Windows-Updates rechnen oder ist hier 'Handarbeit' gefragt ?

Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

Was können wir machen?

Executed Powershell script with output result: Max Threads: 5
= C:\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar

@DanielHeinze 

Danke für die Rückmeldung. Ich hab die Frage gleich weitergegeben und melde mich.

Viele Grüße

Stefanie Herold

---

@DanielHeinze  schrieb:

Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

 

---

... weiß im Moment nicht, von welchen Updates und von welchem Script Sie sprechen ...

Es wurden ja gestren um 1815 Updates freigegeben, welche die Log4J "Lücke" in Datev schließen sollen.

https://apps.datev.de/help-center/documents/1022948

Es gibt ja diverse Powershell scripte, welche nach jar Dateien suchen und die jndi bibliotheken prüfen, 

dieses findet immer noch betroffene Bilbiotheken in  

c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar

---

@agmü schrieb:

... kann man so machen, wenn man mit Überraschungen rechnen muss und die Zeit übrig hat sich auch mit solchen "Problemen" zu beschäftigen; nicht aber, wenn eigentlich nur eine Sicherheitslücke gestopft werden soll und der Schreibtisch und Terminkalender mit - wie nannte es vor längerer Zeit schon einmal jemand - der Erwirtschaftung des Kostendeckungsbeitrag beschäftigt sein sollte.

---

... ich bedanke mich im Nachhinein für Ihren Hinweis auf den Kollateral-Zeitaufwand, den der Abruf der Hotfixe gestern  mit sich gebracht hat.

... so konnte ich mich abends noch mit 'der Erwirtschaftung des Kostendeckungsbeitrags beschäftigen' und nicht die Zeit mit sonstigen Installationen 'verbraten' 

... sollte ich übrigens öfter mal 'in's Auge fassen', diesen benutzerdefinierten Abruf, z.B. bei Fehlerbereinigungen in Steuerprogrammen etc.  und natürlich bei Hotfixes, die ja technisch wohl 'nur' Patches sind (nehme ich jedenfalls an)

Ist LODAS (classic/comfort) auch von log4shell betroffen?

---

@DanielHeinze  schrieb:

Ich habe die Updates gestern installirt. Das Log4J Scrjpt findet auf dem Datev Server und Client aber immer noch eine JAR Datei welche betroffen sein soll.

 

---

Hallo Herr Heinze,

das von Ihnen verwendete Prüftool prüft sehr wahrscheinlich entweder generell auf das Vorhandensein der Komponente oder auch auf die Version 2.15, die wir in unseren Hotfixes verbaut haben, und schlägt deshalb an.

Die Version 2.15 galt bis gestern Abend ca. 19:01 Uhr noch als komplett sicher und seitdem mit einer Ausnahme bei individuellen Konfigurationen nach wie vor als sicher.
In unseren Hotfixes wurde selbstverständlich die Standardkonfiguration verwendet. 

Wer die ganz genaue technische Einschätzung nachlesen möchte 😊: https://www.cve.org/CVERecord?id=CVE-2021-45046

Insgesamt ist das Thema aktuell natürlich hoch volatil und beobachten laufend die Entwicklungen, um ggf. weitere Maßnahmen abzuleiten. 

Zusammengefasst gibt es mit installierten Hotfixes im Kontext der DATEV-Anwendungen aktuell keinen Grund zur Sorge. Sollte sich die Lage ändern, werden wir schnellstmöglich darauf reagieren.

Viele Grüße
Stefanie Herold

---

@Zahnlücke  schrieb:

Ist LODAS (classic/comfort) auch von log4shell betroffen?

Hallo @Zahnlücke,

die von log4shell betroffene Jasper-Komponente ist Teil von DATEV Basis und wird bei der Aufbereitung von Reports und beim Drucken in den DATEV-Programmen verwendet.

Von daher bitte auf jeden Fall die Hotfixes installieren 🙂

Viele Grüße

Stefanie Herold

@Stefanie_Herold perfekt. Danke für die Aufklärung 🙂

Ist ein Hotfix mit der log4j-Version 2.16 geplant?

Hallo Community,

Das wird laut diesem Artikel auf Golem von heute Mittag nicht viel bringen:

Log4J: Erstes Update für Log4Shell-Lücke nicht vollständig - Golem.de

Grüße

Naja, eine DOS-Schwachstelle ist doch immer noch besser als Remote-Code-Execution (finde ich).

Hallo,

ja es wäre mal gut zu wissen, was der Hotfix genau macht. 

Geänderte Aufrufparameter oder Preferences, setzt er eine Umgebungsvariable? Eben diese Workarounds sind eben höchtswahrscheinlich nicht ausreichend.

Oder beinhaltet der Hotfix am Beispiel Jasper Reports eine neue gekapselte Log4J-Version.

Grüße

---

@danlen  schrieb:

Hallo,

 

ja es wäre mal gut zu wissen, was der Hotfix genau macht. 

 

Geänderte Aufrufparameter oder Preferences, setzt er eine Umgebungsvariable? Eben diese Workarounds sind eben höchtswahrscheinlich nicht ausreichend.

 

Oder beinhaltet der Hotfix am Beispiel Jasper Reports eine neue gekapselte Log4J-Version.

 

Grüße

---

Hallo @danlen 

mit den Hotfixes wurde vollständig auf die Version 2.15 aktualisiert.

Viele Grüße

Stefanie Herold

Das ist doch mal eine Aussage mit der man arbeiten kann. Danke dafür!

Hallo zusammen,

schon mal eine kleine Vorwarnung:

Ab 0:00 Uhr heute Nacht erhalten alle Anwender für die sicherheitsrelevanten Hotfixes beim Systemstart die folgende Programm-Meldung. Die Installation kann maximal 3 Tage aufgeschoben werden...

Viele Grüße

Stefanie Herold

Sehr geehrte Frau Herold,

Sie wissen, ich schätze Sie sehr. Aber warum wird diese Info Heute um ca. 18:00 Uhr herausgegeben und nicht - ein bißchen - früher?

Schöne Grüße aus Südbaden

Finde ich gut! DATEV kümmert sich proaktiv um die Systeme, die potenziell noch gefährdet sind.

Kanzleien mit eigener IT oder einem IT-Dienstleister sollten die Updates sowieso schon längst installiert haben, weshalb dort der Hinweis nicht auftauchen sollte.

---

@Gelöschter Nutzer  schrieb:

da wird doch wohl hoffentlich nichts automatisch installiert und der Server neu gestartet?

 

Um die Uhrzeit laufen bei uns sämtliche Datensicherungen, die auf keinen Fall durch einen aus Nürnberg initiierten Neustart unterbrochen werden dürfen!

 

 

---

Nach Ablauf der 3 Tage werden nur die Hotfixes automatisch installiert. Diese lösen weder einen Datentrafo noch einen Neustart aus.

Ich persönliche würde die Hotfixes jedoch schon aus Security-Gesichtspunkten zeitnah installieren und nicht auf die automatische Installation warten.