Sage Software und Log4j
15. Dezember 2021
Sascha Breithecker

@deskfirm

Heißes Thema aktuell – die Sicherheitslücke Log4j. Auch in einigen Sage-Produkten befindet sich Java-Code.

Hier eine tabellarische Auflistung welche Sage Versionen wie betroffen sind:

Log4J

ProduktBetroffen von CVE-2021-44228Details
Sage 50 Connected (SmartFinder)
Sage 50 Handwerk (SmartFinder)
NeinDas im Smartfinder verwendete ApacheSolr 5.3.1 beinhaltet Log4J in der Version 1.2.17. Diese Version ist nicht von der ursprünglichen schwerwiegenden kritischen Schwachstelle CVE-2021-44228 betroffen, welche sich auf die Log4J Versionen 2.0-2.14.1 bezieht. Im Rahmen weiterer Analysen zu CVE-2021-44228 wurde eine etwas geringer kritische Schwachstelle zu Log4J in der Version 1.2.17 entdeckt: CVE-2021-4104. Zu dieser Schwachstelle kommt es allerdings nur dann, wenn ApacheSolr mit einer Logging Konfiguration betrieben wird, die nicht der Standardeinstellung entspricht, genauer gesagt wenn der JMSAppender verwendet wird um Logeinträge zu erstellen. Dieser kann dann dazu missbraucht werden um JNDI Anfragen auszulösen die zur gleichen Wirkung wie CVE-2021-44228 führen. Das im SmartFinder verwendete ApacheSolr 5.3.1 wird per Default auf die Weise ausgeliefert und installiert, dass es den RollingFileAppender benutzt. Dieser kann technisch keine JNDI Anfragen erstellen. Aus diesem Grund ist der SmartFinder und damit auch Sage50 Connected sowie Sage50 Handwerk von diesen Schwachstellen CVE-2021-44228 & CVE-2021-4104 nicht betroffen. Quellen: https://logging.apache.org/log4j/2.x/security.html https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228 https://nvd.nist.gov/vuln/detail/CVE-2021-4104 https://nvd.nist.gov/vuln/detail/CVE-2021-44228  
Sage b7NeinUpdate 4 wurde überprüft verwendet log4j-1.*.jar und in der Properties-Datei der JMS Appender über die Eigenschaften ist TopicBindingName oder TopicConnectionFactoryBindingName nicht gesetzt
Sage ERPNeinKein Java Technologie Stack
Sage 100NeinKein Java Technologie Stack
xRM NeinKein Java Technologie Stack
HR SuiteNeinKein Java Technologie Stack
LohnXLNeinKein Java Technologie Stack
Sage Business Cloud PayrollNein 
SOONeinweder auf dem Gateway noch auf den Web oder Provisioning Server und auch auf den Appservern ist Java nicht installiert
Sage WincaratNeinKein Java Technologie Stack
X3Ja/NeinWenn die Installation nach den Security Guidelines erfolgt ist, besteht kein Risiko. Falls die Guidelines nicht beachtet wurden, gibt es eine Komponente, die ggf. ein Update erfordert um sich abzusichern. Es handelt sich dabei um Elastic Search und ein Update ist bereits auf der Hersteller Website verfügbar.    
Sage CRMJaDas SageCRM-Team in Dublin will für die aktuell unterstützten Versionen Patches liefern.
Für folgende Versionen sind sie bereits im Test:
Sage CRM 2020 R2
Sage CRM 2021 R1
Sage CRM 2021 R2 Sobald sie verfügbar sind wird von uns ein WDB-Artikel mit den downloads veröffentlicht. https://www.sagecity.com/sage-global-solutions/sage-crm/f/sage-crm-announcements-news-and-alerts/178655/advisory-apache-log4j-vulnerability-cve-2021-44228  
OL24 / Sage100 HostingNein 
Sage New Classic / SNC WebclientNein 
Sage Online-Portale (ServiceWelt, PartnerForum, SupportCenter usw.)NeinKein Java Technologie Stack
d.velop (S100 DMS)Jad.velop arbeitet an einer Lösung https://kb.d-velop.de/s/article/000001798
TMS Archiv (HR)Nein 
E-Bilanz HSHNeinOpti.Tax und entsprechende OEM Client Versionen sind von dieser Java Sicherheitslücke nicht betroffen. Log4j wird von uns nicht verwendet! Es besteht kein Handlungsbedarf. Folgenden Beitrag haben wir zu diesem Thema veröffentlicht: Schwachstelle Java-Bibliothek (Log4j)
Webshop epagesNeinNach jetzigem Stand (14.12.2021) ist der Shop von epages nicht direkt betroffen. Lediglich die Logfile Aggregation mit Logstash und Elasticsearch benutzt die betroffene Bibliothek. Dafür hat epages gestern einen Workaround eingespielt.
Sage 50 Handwerk mobile ObjectsNeinLaut Aussage des Herstellers ist unser Webservice nicht von dem Problem betroffen
Sage 50 Handwerk Cloud (powered by Loginfinity)NeinKein Java Technologie Stack
Log4j in Sage Produkten

Zusammengefasst kann man sagen, dass “nur” die Produkte Sage CRM und Sage DMS betroffen sind. Für beide Produkte werden kurzfristig Patches/Fixes erscheinen.

Mehr Informationen zu Log4j und den Warnungen des BSI finden Sie hier.

Das aktuelle PDF mit Details finden Sie hier:

Sollten Sie Unterstützung benötigen, sprechen Sie uns gerne an!

Diesen Beitrag Teilen

Haben Sie Fragen zu diesem Artikel?

Blog post Question Form

Sie möchten eine kostenlose Testversion?

Füllen Sie bitte unten die Felder aus.

Blogpost kostenlose Testversion
0
0
0
0
0

Möchten Sie Sage auf dem eigenen Inhouse Server oder auf der DESK-Server Cloud installieren? Entscheiden Sie sich für eine Serverumgebung Ihrer Wahl.

Anzahl Benutzer Warenwirtschaft:

Anzahl Benutzer Rechnungswesen:

Serverumgebung (Selfhosting / DESK-CloudServer):

Personalmanagement:

Personalabrechnung:

Zeiterfassung:

Serverumgebung (Selfhosting / DESK-CloudServer):

DESK Software & Consulting GmbH © 2024 | info@desk-firm.de