Hier: https://portal.beasupport.de/external/c/aktuelles
11.12.2021
Log4Shell-Schwachstelle beseitigt
Am 10.12.2021 wurde vom BSI eine kritische Schwachstelle in einer Softwarekomponente gemeldet, welche diverse Anwendungen, wie unter anderem auch beA-Komponenten, betrifft. Die Schwachstelle konnte in allen beA-Komponenten schnellstmöglich beseitigt werden. Mit einem Update wurde ein konfigurierbarer java_opts Parameter "-Dlog4j2.formatMsgNoLookups=true!" ergänzt, welcher die Sicherheitslücke schließt.Zur Nutzung des beA ist zwingend eine Aktualisierung auf die Version 3.9.0.7 nötig. Bitte aktualisieren Sie diese auch unabhängig davon, ob Sie diese gegenwärtig nutzen.
Hinweise zur Aktualisierung finden Sie hier.Bilder sowie Anleitungen werden in unserem Supportportal zeitnah auf den neuesten Stand gebracht. Wir bitten aufgrund der Eiligkeit der Anpassung um Nachsicht.
Weil Sie schreiben Veeam sei betroffen:
Quelle: https://www.veeam.com/kb4254
Veeam products are not affected by this vulnerability.
Apache Logs4j is not in use by any Veeam products.
kommt der CrystalReportViewer auch von DATEV?
steht mit auf der github-liste.. geklickt habe ich nicht, war schon spät :-).
acronis ist auch nicht direkt betroffen.. patch kommt wohl trotzdem.
Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.
Was passiert?
1. Log4Shell wird genutzt um ein winziges Programm zu installieren, was später unbemerkt code nachlädt.
2. Die Schadsoftware katalogisiert ihr Netzerk und sucht nach weiteren Lücken
3. Je nachdem was sich lohnt
3.1 Ihre Daten werden langsam, unbemerkt nach außen gesendet
3.2 Install Kryptominer
3.3 Sie versenden Spam
3.4 Ihr System wird verschlüsselt - im schlechtesten Fall inkl. Backupsystem (siehe Punkt 2)
4. Sie werden erpresst
4.1 Entschlüsseln der verschlüsselten Daten
4.2 Schutz vor Preisgabe ihrer in 3.1 entwendeten Daten
5. Je nachdem wie tief in ihr System eingedrungen wurde muß ihr System ggf. neu aufgesetzt werden. Es reicht ggf. nicht die Datensicherungen der letzten Woche einzuspielen. Je nachdem, wie sie aufgestellt sind. Ich rede hier von einem Vorfall in 1-2 Monaten. Von einem ersten Eindringen am 11.12.
Die Warnstufe ROT des BSI ist berechtigt und sollte nicht mit "bei Printnightmare ist auch nicht viel passiert" auf die leichte Schulter genommen werden.
... evtl. lässt sich ein Registry-Eintrag setzen oder ähnliche Schutzmaßnahmen, die den Klick auf Links oder das Öffnen von MS-Office-Dateien oder div. anderer E-Mail-Anlagen verhindert
(... habe bei mir schon vor einiger Zeit das Anklicken von Links in E-Mails blockiert ...)
... quasi eine mehrtägige Kanzlei-Quarantäne, bis sich der Nebel des Grauens lichtet
@Bazinga schrieb:
Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.
Und warum ist dann bis jetzt so wenig passiert? Liest sich ja noch einfacher als die Exchange Lücke. Da ist irgendwas faul. Da würde ich erwarten, dass viel mehr Schaden schon jetzt im Internet kursiert. Oder halten sich alle Betroffenen zusammen gemeinsam zurück und sind alle sprachlos?!
weil das taktisch unklug wäre?
große datenmengen würde ich abzapfen, wenn sich die chance ergibt und nicht alle gespannt auf logs schauen..
gerade ist die zeit zum platzieren der einfallstore.
Bei uns hat ein - geschulter - Mitarbeiter in der Eile einen Link von Hand in den Browser eingefügt (weil er sich nicht anklicken lies).
--> Immer auch das scheinbar unmögliche einplanen.
Das wird sehr oft nicht kommuniziert.
Ich kenne alleine 8 Fälle kompromitierter Exchangeserver im eigenen Umfeld. Keiner davon war in den Medien. Alles mittelgroße Mittelständische Unternehmen. Bei drei davon auch Ransomware.
Ich könnte ihnen jetzt einen großen Maschinenbauer nennen, bei dem die Maschinen von mehr als 100 Kunden verschlüsselt wurden. Davon war auch nichts in den Medien.
Kommt i.d.R. nur an die Öffentlichkeit, wenn es sich nicht vermeiden läßt.
Hallo zusammen,
das zentrale Dokument von DATEV zum Thema Log4j Schwachstelle finden Sie nun hier im Hilfe-Center .
Die Seite wird regelmäßig aktualisiert.
PS: Wir haben diese Info auch am Anfang des Threads hinterlegt, damit User, die neu hierher finden, nicht erst den ganzen Thread lesen müssen.
Hotfixe lassen sich während der Arbeitszeit installieren und brauchen keinen Neustart. Das war mal eine Prüfungsfrage zum DATEV Techniker und der zentrale Unterschied zu Service Releasen.
Wie verhält es sich heute Abend ab 18:15: Neustart notwendig? Datenanpassung? Da fehlt die Information von DATEV.
Wird sich heute Abend rausstellen, nachdem es auch Hotfixes für den SQL-Server gibt....
Hotfix: B0000454-06210
Mit STRG+SHIFT+V fügt man nur den reinen Text ein; ohne Formatierung 😊. Zumindest unter Windows. Unter macOS kann man sich dazu einen Shortcut bauen 😇.
Also mal einen Neustart einplanen. Danke!
Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!
Da kann man ja gestern nochmal draufschauen
@Nutzer_8888 schrieb:Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!
Da kann man ja gestern nochmal draufschauen
Ist gegen 17:30 Uhr korrigiert und zusätzlich um allgemeine Handlungsempfehlungen ergänzt 👍
Viele Grüße
Hallo Daniel,
nur dieses Thema: Hotfix, kein Neustart, keine Datenanpassung. Aber ja, es kommt ja noch mehr, wie hier schon geschrieben wurde ...
Hallo Community,
ich versuche etwas Licht in die beA-Fragestellungen zu bringen.
DATEV:
Bei mir auf dem PC wurden nach einem Test 2 DATEV-Einträge angezeigt.
c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar
beA;
Verwendet in der neuen Version noch die Version log4j-core-2.14.1.jar (anfällig). Gibt aber ein Workaround, vielleicht haben sie diesen angewendet.
Die log4j-Datei in dem Unterverzeichnis der K0005078 gehört zu der Schnittstelle, die die BRAK uns Softwareherstellern zur beA-Anbindung bereitgestellt hat.
Hier werden wir mit dem Hotfix von heute nur die JVM mit dem zusätzlichen Argument –Dlog4j2.formatMsgNoLookups=True starten; inhaltlich aber nichts an der Schnittstelle ändern. Hier warten wir auf Aktualisierung durch die BRAK.
Die zweite log4j-Datei gehört zur beA-Client Security, die Sie für eine Anschaltung an die Webseite benötigen. Hier die BRAK bereits am Sonntag eine aktualisierte Version bereitgestellt. Der Fix beschränkt sich meines Wissens aber auch dort zunächst auf das zusätzliche Argument beim Javastart.
Freundliche Grüße
Carsten Groß
Entwicklung DATEV Anwalt
Guten Abend Herr Buggisch,
hat die Bereitstellung der Hotfixes heute Abend 18.15 Uhr geklappt?
Noch sind keine aktuellen Infos ersichtlich.
Danke!
R.Geiler
jop. ich installier grad.
was ist eigentlich mit den windows-updates? noch nicht im verträglichkeitstest oder schwitzen gerade alle woanders?
Hallo Herr Buggisch,
zunächst einmal ein Lob, die Hotfixes stehen wie angekündigt bereit;👍
aber: und jetzt kommt der Wehrmutstropfe👎n, der meinen Blutdruck steigen lässt:
Es wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!! Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt.
Oder wollen Sie mir ernsthaft erklären wollen, dass von Samstag Nacht bis heute Vormittag ein Entwicklung von Rechnungswesen Hotfix in dieser Datengröße geschrieben, getestet, geprüft und für die Auslieferung bereitgestellt wurde?
Nachdem die Installationsroutine ein nicht mehr kalkulierbares Risiko darstellt, bleibt mir und vielen anderen Anwendern also nur die Möglichkeit die Hotfixes manuell an jedem Rechner einzuspielen.
Nachtrag: Natürlich muss der Datentrafo angestoßen werden - natürlich finden sich auch dort noch immer Fehler. ich könnte k....
@Gelöschter Nutzer
Hallo!
Besten Dank für die Information.
Noch eine TelCo und dann werde ich dann auch mal loslegen.
Grüße!
R.Geiler
@agmü schrieb:Es wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!! Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt.
Das Service-Release für Rechnungswesen enthält die Standarddaten für 2022 und war ebenfalls für heute angekündigt.
Wenn Sie wirklich nur die sicherheitsrelevanten Hotfixes installieren möchten, geht das über eine benutzerdefinierte Installation: Dokument 1071255
@agmü: Jupp, heute kommen standardmäßig sowieso DATEV Service Release, damit man das WJ 2022 anlegen und eine Übernahme machen kann. Das hatte mit Log4j nichts zu tun. Von daher, danke 👍 DATEV , dass das zeitgleich passiert und wir nicht 2x ran müssen. Heute einmal alles installieren und man ist safe und aktuell zu gleich.
was kann man jetzt noch machen? ich hab gescannt, hersteller angeschrieben (auch schon antworten erhalten ;-), alles vom netz genommen was geht, deinstalliert, datev-updates sind drauf... fehlen eigentlich nur noch win-updates?
Sorry, das reguläre SR hatte ich nicht auf dem Schirm.
Daher: MEA CULPA, MEA MAXIMA CULPA.
Ein kurzer Hinweis im Hilfe-Dokument oder der Community hätte die Überraschung in Grenzen gehalten.
@Stefanie_Herold : nichts für ungut: nach fast 20 Jahren DATEV-Software weis ich mir zu helfen und kenne auch die Schwachstellen der Software (anderes Thema zu dem ich mich nicht mehr äußere und zu dem ich auch kein Feedback mehr gebe; da wurde in der Vergangenheit zu viel Vertrauen zerstört).
@Gelöschter Nutzer schrieb:
was kann man jetzt noch machen?
Kerze 🕯 anzünden und beten 🙏? Oder Kaffee 🍵 machen und gespannt auf die nächste Lücke warten?
Oder aber zu empfehlen:
Und nein, keine Utopie ➡️ Wirklichkeit.
bea-client gibs auch wieder was neues.. dieses **bleep** tool von der schwerbehindertenabgabe (iw-elan) hat natürlich auch java im bauch..
ja.. da bin ich nicht ganz so pessimistisch ;-).
schlimmste lücke seit ewigkeiten? so der wortlaut.. den ich irgendwie nachvollziehen kann.
im scan findet er immer noch datev mit class missing new error message string literal
und BRAK Bea.. naja, wird schon passen
IW-Elan sollte aber kein Problem sein
https://www.iw-elan.de/news/Kritische-Schwachstelle-in-Java-Bibliothek/