Sicherheitslücke in Apache Log4j

AchtungStaatliche Sicherheitsbehörden in vielen Ländern (FrankreichGrossbritannienDeutschlandUSA) haben am 10. Dezember 2021 eine wichtige Sicherheitslücke in einer Bibliothek gemeldet, die sehr häufig in allen Projekten und Software, die in Java entwickelt werden, verwendet wird. Die Sicherheitslücke wurde in der für die Protokollierung verwendeten Apache Log4j-Bibliothek festgestellt und kann Cyberangreifern die Übernahme der Kontrolle über Informationssysteme ermöglichen.

Die auch als “log4shell” bezeichnete Sicherheitslücke wird durch eine in den Versionen 2.x eingeführte Funktion von Log4j verursacht, die es ermöglicht, durch Interpretation einer Zeichenfolge in einer protokollierten Nachricht eine Verbindung zu einem Entfernten Standort ohne Authentifizierung herzustellen oder Code direkt auszuführen.

Es handelt sich um eine Sicherheitslücke von globalem Ausmass, die von der Apache Foundation als Sicherheitslücke der Stufe 10 eingestuft wurde.

Statusbericht Dassault Systèmes

Update 21. Dezember 2021: Nach der Veröffentlichung dieser Warnung und der Untersuchung durch seine eigenen Cybersicherheitsteams hat Dassault Systèmes Abhilfemassnahmen ergriffen und seine Kunden über seine Wissensdatenbank (Knowledge Database) informiert.

Die folgende Tabelle fasst die von Dassault Systèmes gemeldeten Auswirkungen der Sicherheitslücke auf seine Software zusammen.

Software-Lösungen Durchzuführende Aktion
3DEXPERIENCE SaaS Ausführung eines Updates (HF0.4), das für jeden Benutzer durchzuführen ist
3DEXPERIENCE On-Premise Je nach Version – Konsultieren Sie die Knowledge Base von Dassault Systèmes oder wenden Sie sich an den Visiativ-Support. (support@mycadservices.com)
SOLIDWORKS- und PDM-Software-Lösungen Nicht betroffen – keine Aktion erforderlich
SmarTeam Je nach Version – Konsultieren Sie die Knowledge Base von Dassault Systèmes oder wenden Sie sich an den Visiativ-Support. (support@mycadservices.com)

Stand aktualisiert am 20/12/2021 um 16:00 Uhr

Diese Tabelle wird aktualisiert, sobald die von Dassault Systèmes bereitgestellten Informationen vorliegen.

Falls Sie sich auf die von Dassault Systèmes im Artikel seiner Knowledge Base empfohlenen Massnahmen stützen, wird Ihnen dringend empfohlen, diesen Artikel regelmässig zu konsultieren, um sicherzustellen, dass die durchzuführenden Aktionen nicht geändert oder durch zusätzliche Massnahmen angereichert wurden.

Von VISIATIV entwickelte Tools, die mit Dassault Systèmes-Software verbunden sind (myCADservices, my3Dplayer, myCADplace, myProduct, myCADtools, myApps), sind von dieser Sicherheitslücke nicht betroffen. Dasselbe gilt für die spezifischen Entwicklungen, die VISIATIV in Projekten durchführt.

Update 16. Dezember 2021: Die SWPDM-Entwicklungsgruppe konnte bestätigen, dass die folgenden SOLIDWORKS-Produkte nicht von der log4j-Schwachstelle betroffen sind:

  • SWPDM-Client
  • Server
  • Web2 (und Legacy-Web-Client)
  • SW Manage

Dassault Systèmes ist sich des Sicherheitsproblems im Zusammenhang mit dem Open-Source-Dienstprogramm Apache Log4j (CVE-2021-44228) bewusst. Das Cybersecurity-Team untersucht seit Freitag, den 10. Dezember, aktiv die möglichen Auswirkungen dieser Sicherheitslücke.

Bereits in den ersten Stunden nach der Ankündigung, hat Dassault Systèmes sofortige Massnahmen im Rahmen der Schwachstellen- und Bedrohungserkennungsprozesse ergriffen, um potenzielle Risiken im Zusammenhang mit dem SaaS-Angebot der 3DEXPERIENCE-Plattform zu minimieren.

Wir bitten alle Cloud-Nutzer des Collaborative Designer for X-CAD, auf die am 14. Dezember veröffentlichte Version HF0.4 zu aktualisieren.

Cloud-Kunden, die den Collaborative Designer for X-CAD in der 3DEXPERIENCE Plattform nicht verwenden, brauchen keine Massnahmen zu ergreifen. 

Statusbericht über Software von Visiativ, die in Java entwickelt wurde oder Java-Komponenten verwendet

Software Status der Anfälligkeit
Audros nicht betroffen
Isoflex nicht betroffen
Moovapps Cloud Sicherung durchgeführt am 14.12.21
Moovapps Document (gehostet mit Volltextsuche) Sicherung durchgeführt am 14.12.21
Moovapps Document (on premise mit Volltextsuche) In der Standardkonfiguration nicht betroffen.

Es könnte eine Sicherheitslücke bestehen, die jedoch nicht direkt über die Software ausgenutzt werden kann, wenn der Kunde die Konfigurationseinstellungen speziell ändert und die Volltextsuche aktiviert. Ein Software-Update, das vor nicht empfohlenen Konfigurationsänderungen schützt, wird ab dem 21.12.21 auf dieser Website zum Download bereitstehen.

Moovapps Document (ohne Volltextsuche) nicht betroffen
Moovapps Drive nicht betroffen
Moovapps IoT (Timelab) nicht betroffen
Moovapps Live nicht betroffen
Moovapps Process nicht betroffen
Moovapps Team nicht betroffen
myCADservices nicht betroffen
my3Dplayer, myCADplace, myProduct, myApps nicht betroffen

Status aktualisiert am 17/12/2021 um 10:00 Uhr

Softwarelösungen von Visiativ, die nicht in der obigen Tabelle aufgeführt sind, werden weder in Java entwickelt noch verwenden sie Java-Komponenten und sind daher nicht betroffen (Aquarelle, Moovapps Commerce, Living Actor, DM SQL, …).

Die Empfehlung von CERT-FR und ANSSI, eine verstärkte Überwachung Ihrer Systeme zu organisieren und die ausgehenden Datenströme von Ihren Servern zu filtern, um sie nur auf autorisierte Datenströme zu vertrauenswürdigen Diensten zu beschränken, wird weiterhin empfohlen.

Diese Mitteilung wird im Zuge unserer Untersuchungen und Ergebnisse aktualisiert.

Der Schutz Ihrer Daten ist unsere oberste Priorität und unsere Teams arbeiten kontinuierlich daran, Ihnen immer zuverlässigere und sicherere Dienste anzubieten.

Weitere Details finden Sie hier.