@rganter schrieb:Sehr geehrte Frau Herold,
Sie wissen, ich schätze Sie sehr. Aber warum wird diese Info Heute um ca. 18:00 Uhr herausgegeben und nicht - ein bißchen - früher?
Schöne Grüße aus Südbaden
Tut mir leid 😔 Mir ist beim Schreiben dauernd was dazwischengekommen.
Hotfix B00001429-01750 Update für Jasper Runtime lässt sich mit Software-Stand 5.8.2021 nicht per Hotfix-Installation und nicht manuell installieren weil die benötigte Version 1.73.10 nicht installiert ist.
Also Komplettpaket mit Service Releases und Hotfixes.
Gut dass ich alle Installationstermine in die erste Januar-Woche gepackt hab, dann kann ich ja die gesparte Zeit jetzt dafür verwenden
Hallo @andreasmaier ,
das ist korrekt. Der Jasper Reports Hotfix lässt sich nur auf die Version von DATEV Basisdienste Ausgabe 6.12 installieren, welche mit dem Update Termin am 02.09. bereitgestellt wurde. Ich bin da jetzt kein Spezialist, aber meines Wissens können Sie im Expertenmodus im Installationsmanager auch den Servicerelease Stand vom 02.09. installieren. Siehe hierzu Hilfe Dokument 1005475 .
Vielleicht kann sich hierzu aber auch noch ein Installations-Spezialist einklinken.
@Stefanie_Herold schriebNach Ablauf der 3 Tage werden nur die Hotfixes automatisch installiert. Diese lösen weder einen Datentrafo noch einen Neustart aus.
Ich persönliche würde die Hotfixes jedoch schon aus Security-Gesichtspunkten zeitnah installieren und nicht auf die automatische Installation warten.
ich hätte die Hotfixes liebend gerne manuell installiert, nur leider war der Installationsmanager mal wieder der Meinung, dass mit dem letzten Update nicht alle Daten aktualisiert werden konnten, und er vorher einen Neustart haben wollte.
Es war aber definitiv nichts neu installiert worden, weder von Microsoft noch von DATEV.
Aber egal, ich habe die Chefs überzeugen können heute mal nicht bis nach 23:00Uhr zu arbeiten und hab gleich die ganzen Updates vom 14.12. installiert. So habe ich hoffentlich Ruhe bis zum Update am 30.
Guten Morgen,
wir sind selbstbuchender Mandant und haben die Datev-Programme vor Ort.
Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:
Logpresso CVE-2021-44228 Vulnerability Scanner 1.5.0 (2021-12-15)
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-45046 vulnerability in C:\Datev\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (BOOT-INF/lib/log4j-core-2.15.0.jar), log4j 2.15.0
Ist Elster noch sicher ?
Mit freundlichen Grüßen
Stephan
Und der ElsterAuthenticator ?
Am besten mal eine Mail an Elster-Support schicken, oder anrufen würde ich sagen.
Sie können ja das Feedback von Elster gerne hier allen mitteilen 🙂
@sne1965 schrieb:
Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1Ist Elster noch sicher ?
Guten Morgen,
ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂
Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.
Viele Grüße
Stefanie Herold
Guten Morgen,
ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.
Was kann ich ihm antworten?
MfG
C.Pohl
@clapohl schrieb:ein Mandant, der Unternehmen Online nutzt, fragt an, ob er auch von der Sicherheitslücke betroffen ist und was er unternehmen muss.
Was kann ich ihm antworten?
Alle DATEV Cloud-Anwendungen werden seit Samstag laufend aktualisiert. Speziell für DATEV Unternehmen online muss Ihr Mandant selbst nichts unternehmen.
Viele Grüße
Stefanie Herold
Was mir auffällt ist, dass im Vergleich zur Datev viele SW-Anbieter (gerade auch kleinere) sich kaum zur Betroffenheit/Nichtbetroffenheit von der Schwachstelle öffentlich äußern oder dies halt - wie beim ElsterPortal - nicht so ganz umfänglich tun.
Alles Outgesourcte scheint nicht mehr voll in der Kontrolle vieler SW-Anbieter zu sein und man scheint (oder mangels Kompetenz: muss) sich wohl blind auf diese externen Partner zu verlassen?! Jeder versucht scheinbar den eigenen Rücken an die Wand zu bekommen. Hier muss bestimmt die Outsource-Strategie einiger Anbieter kritisch hinterfragt werden. Das wird ja leider nicht die letzte signifikante Schwachstelle sein?!
Es fällt mir auch auf, dass auf den Web-Seiten der Anbieter regelmäßig keine tauglichen Kontaktmöglichkeiten (Telefon, direkte Mail) mehr auffindbar sind, sondern bevorzugt KI-Roboter und Kontaktformulare verlinkt sind. Auch sind viele Antworten letztlich kaum glaubwürdig, weil - zumeist mangels Expertise - viel Vermutung heraushörbar ist. Für professionellen Kundensupport steht das nicht! - Bitte verzeiht dies Allgemeinheit!
Hier hebt sich die Datev m.E. deutlich positiv ab!!!
Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....
Dennoch frage ich mich, wie solcherlei Lücken sich in einer hochdigitalisierten Umwelt auswirken werden. Da wird mir mulmig....
das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.
Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.
Werden die DATEV-Anwendungen immer noch laufend aktualisiert?
@Gelöschter Nutzer schrieb:
das sehen wir nach den Feiertagen.. wenn alle im Feiertrubel sind und die Einfallstore genutzt werden.
Dann dauert es vielleicht noch 1-2-3 Wochen und die ersten Neuigkeiten kommen ans Tageslicht.
Werden die DATEV-Anwendungen immer noch laufend aktualisiert?
Unser SOC schläft nie
Und wenn dringende sicherheitsrelevante Anpassungen notwendig sind, sind Urlaube im Notfall ganz schnell beendet... Beim Thema Security verstehen wir überhaupt keinen Spaß‼️
da habe ich auch nicht Datev mit gemeint :-). Dennoch bin ich etwas verwundert, dass Datev noch im Patchprozess hängt.
Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?
Hoffen wir mal, dass alles unauffällig bleibt. Andernfalls könnte man aber wenigstens sagen, dass man gehobelt hätte ....
bei uns waren wir, mit etwas glück, nie angreifbar für den hack, da das programm nur mit local clients spricht und nicht auf anfragen von xyz.. wurde allerdings auch mal aktiv so eingestellt.
mal abgesehen davon ist unsere it und programmvielfalt überschaubar.. in grossen oder nicht aktiv betreuten umgebungen bestimmt spannender..
dies updatemanagement von java ist nicht so trivial.. schrieb mal jemand.
ungeachtet der zeitnahen Reaktion durch die DATEV wird mir bei diesem, auf heise.de zum Thema Log4j Schwachstelle auffindbaren, Kommentar aus anderen Gründen mulmig.
Entweder verstehe ich die Ausführungen falsch oder die "Schwachstelle" in Log4j ist gar kein Bug, sondern es wird "lediglich" eine Schnittstelle die dem Soll-Zustand entspricht "missbraucht".
Die Richtigkeit unterstellt wäre der eigentliche "Fehler" in der grundlegenden Funktionsweise der Software zu suchen. Weitere Folge wäre, dass kein Patch, diese Funktionsweise (auf die schnelle) beheben kann, denn dann wäre die Software nicht mehr lauffähig.
Über die weiteren Konsequenzen will ich dann nicht nachdenken.
Ich hoffe ich verstehe dieses Ausführungen "nur" falsch.
"Zudem wird der betroffene Teil der Log4J Bibliothek (das Ausführen von externem Code)
in xxx an keiner Stelle verwendet. Der xxx Server nutzt in der Standardkonfiguration Log4J nicht."
Aussage eines Supportteams...
es kommt immer drauf an, wo wie usw. das teil genutzt wird.
Sie verstehen da nichts falsch. Das ist JAVA. Viele Klassen und keine Ahnung wie die verbunden sind. Nur ein Aufruf mit Übergabe der Parameter.
Eine JAVA Programmierer hat mal versucht mir das zu erklären, mit Pascal und C Logik bin ich da nicht durchgestiegen und erklären, was wann und wie aufgerufen und zurückgeliefert wird konnte er auch nicht. Es kam nur: "Das rufe ich so auf und dann geht es."
Danach habe ich für mich beschlossen das JAVA nix für mich ist, das Steuerrecht hat mindestens genau so viele schwarze Löcher, da brauche ich keine zusätzlichen.
Erstmal ein Kudo für den trockenen Humor 😂
Vielleicht sollte man angesichts der Lage auch darüber nachdenken Landschaftsgärtner zu werden, so wie der Autor des Heise-Artikels...
... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll
... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?
... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht
... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken
Hallo an Alle,
überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.
Ist diese App auch von der Log4Shell betroffen?
Grüße
Chris
@vogtsburger schrieb:
... mich würde interessieren, was mit den Log4j-Updates, -Patches, -Scripts und sonstigem -Gedöns genau erreicht wird oder erreicht werden soll
... wird dadurch z.B. das Beantworten von 'anonymen' Anfragen aus dem Internet verhindert oder das Ausführen von Code oder sonst etwas ?
... ich würde nämlich gerne ein Gefühl dafür bekommen, hinter welchem 'virtuellen Gebüsch' oder bei welchen selbst ausgeführten Aktionen (lokal oder 'in der Cloud') evtl. Gefahr droht
... und würde dann, falls möglich, solche Aktionen auf das Unverzichtbare oder Alternativlose einschränken
Das ist genau die Frage: Ich verstehe den Kommentar so, dass im Sinne des Systemdesign unklar (work as designed) ist, welche Aktionen wann, wo und wie ausgeführt werden. Daher erscheint es mir unmöglich die "Aktionen auf das Unverzichtbare oder Alternativlose" einzuschränken.
... ja, die Java-Aktionen sind anscheinend nicht kontrollierbar oder selektierbar,
aber ich meinte eigentlich meine eigenen 'Aktivitäten', also die Verwendung bestimmter Tools und Programme.
... wenn natürlich Java-Funktionen in zentralen Software-Komponenten verwendet werden, z.B. bei jeder Erstellung irgendeiner Auswertung oder beim Drucken etc. dann wäre das ein Spiel mit dem Feuer
... mir ist auch nicht ganz klar, ob diverse JAVA-Funktionen grundsätzlich mit Diensten im Internet kommunizieren (müssen), um überhaupt zu funktionieren
... dass sie also permanent irgendwo Spuren hinterlassen und entsprechende Systeminformationen, ip-Adressen, Betriebssystem, DNS-Server-Adressen etc. 'verraten'
@Stefanie_Herold schrieb:
@sne1965 schrieb:
Eine Prüfung mit log4j2-scan.exe ergab folgendes Resultat:
[*] Found CVE-2021-44228 vulnerability in C:\Dokumente und Einstellungen\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1
[*] Found CVE-2021-44228 vulnerability in C:\Users\Administrator\AppData\Local\ElsterAuthenticator\lib\log4j-core-2.12.1.jar, log4j 2.12.1Ist Elster noch sicher ?
Guten Morgen,
ich hab auf das Thema schon ein paar Kollegen angesetzt 🙂
Direkt mitbringen tun wir den Authenticator bei der Installation nicht. Wir prüfen aber gerade, ob der evtl. vom ERiC-Client der Finanzverwaltung nachgezogen wird.
Viele Grüße
Stefanie Herold
Hallo zusammen,
wir haben alle Verwendungen des ERiC-Clients geprüft. Von unserer Seite wird der ELSTER-Authenticator nicht mitgebracht und auch nicht nachgeladen.
Heißt: Der Authenticator kommt entweder über eine nicht-DATEV-Software oder evtl. auch direkt über ELSTER-Module.
Viele Grüße
Stefanie Herold
Beim ElsterAuthenticator steht sinngemäß, dass eine betroffene Version von log4j eingesetzt wird, aber nicht ausgenutzt werden kann - bisher kein Update
kris ist ein hervoragender Erklärbär für solche Sachen. Alleine seine bildliche Darstellung mit der Phrase: "Man muss sich das wie einen Dreijährigen vorstellen, der sich jede Klasse in den Mund steckt, um herauszufinden, wie sie schmeckt und ob sie sich ausführen lässt." trifft es. Also ja: Sie verstehen das richtig.
(Hint an die DATEV: kris ist übrigens sehr erfahren mit großen RZ und Datenbanken. Falls ihr also mal eine guten Einschätzung eines fremden Dritten braucht...)
@c_k_ schrieb:überraschend wurde heute ein Update für die SmartLogin App auf dem Smartphone installiert.
Ist diese App auch von der Log4Shell betroffen?
Hallo @c_k_
das Update für die SmartLogin App hat nichts mit Log4Shell zu tun 🙂
Es ist ein ganz normales Update und bringt z.B. den Landscape-Mode bei iOS (incl. automatisches Drehen) und eine Verbesserung der Mailanbindung bei der Registrierung mit 👍
VG aus Nürnberg
@Gelöschter Nutzer schrieb:Datevnet hilft nur bedingt bis gar nicht gegen diesen Angriff? Stimmt die Aussage?
In meinen Augen ist das Interpretationssache, was man unter bedingt bis gar nicht versteht.
DATEVnet bietet einen grundsätzlichen Schutz gegen Angriffe von außen und prinzipiell auch gegen Angriffe über die Log4j-Lücke, der aber keinesfalls ausreichend ist und es ohnehin keinen vollumfänglichen Schutz geben kann.
Konkret
Vollständige Abhilfe bietet nur die Behebung der Sicherheitslücken in allen betroffenen Systemen - auch nicht-DATEV-Software, die ggf. auf dem gleichen Rechner läuft.
Viele Grüße aus Nürnberg