Direkt zum Inhalt

Update zur Apache Log4j CVE-2021-44228 (Log4Shell) Sicherheitslücke für alle Infoniqa Produkte

Aufgrund einer kurzfristig bekannt gewordenen Schwachstelle in einer Java Bibliothek (Log4J) sind Sicherheitsupdates für unsere Produkte notwendig. Weitere Informationen zu der Schwachstelle finden Sie unter: CVE-2021-44228. Die Pressemitteilung zur Warnstufe Rot der BSI finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html 

Im Laufe der Analysen wurde die Schwachstelle CVE-2021-45105 identifiziert, welche mit Release log4j Version 2.17.0 beseitigt wurde.

Informationen zur Problemlösung zu den jeweiligen Produkten finden Sie in den jeweiligen Produktabschnitten.

Status ONE HCM: abgeschlossen

Betroffene Module sind eiHost und HCM Kern (engage). Nicht betroffen ist das eLearning Modul.

22.12.2021 – 10:30 Uhr

Das Release HCM 2021.3.2.PATCH2 ist nun verfügbar, welches die aktuellste log4j Version 2.17.0 benutzt.

15.12.2021 – 17:22 Uhr

Das Release 2021.3.2.PATCH1 ist nun verfügbar, welches die aktuellste log4j Version 2.16.0 benutzt.

14.12.2021 – 18:00 Uhr

Für 85% der ONE HCM Kunden im on-premises Betrieb wurde die Behebung der Schwachstelle ausgerollt.

14.12.2021 – 11:29 Uhr

Die HCM Release 2021.3.2 ist für alle Kunden verfügbar, welche die Schwachstelle für alle Kunden behebt.

13.12.2021 – 17:03 Uhr

Für alle ONE HCM Kunden im SaaS Betrieb wurde die Schwachstelle behoben.

13.12.2021 – 10:00 Uhr

Notwendige Sicherheitsmaßnahmen wurden getroffen, um diese Lücke zu schließen. Im Zuge dessen wird Ihre HCM Installation in unserem SaaS Betrieb im Laufe des Tages neu gestartet. 

Sie möchten die Lücke selbst schließen?
Hier finden Sie eine Anleitung zur Schließung der Log4Shell Schwachstelle:

PDF-Anleitung herunterladen

Status ONE Payroll DE Classic (IPR): Abgeschlossen

Für unsere on-premises Kunden wenden Sie sich bitte an Ihren IBM Kontakt. IPR verwendet als einziges Java basiertes Tool IBM i Access Client Solution 

Status ONE Payroll AT (LGV+): abgeschlossen

Die Kernanwendung LGV+ verwendet kein Java und ist daher nicht betroffen.

23.12.2021 - 15:30 Uhr

Für die Benutzer des Desktopclients MBSIP-Client ist zwingend der Einsatz der Version 2.0.2 erforderlich, welche jetzt mit einem Patch verfügbar ist inkl. log4j v2.17.0

20.12.2012 - 21:45 Uhr

Für die Module Webreise und Online-Portal steht ein Update mit log4j v2.17.0 zur Verfügung und ist für alle SaaS Kunden live.

14.12.2012 - 15:00 Uhr

Lösung an alle on-premises Kunden ausgerollt.

13.12.2021 - 20:19 Uhr

Die Schwachstelle wurde für die Module Webreise und Online-Portal für die SaaS Kunden geschlossen.

13.12.2021 - 14:20 Uhr

Module Webreise und Module Online-Portal (Dokumentanzeige) ist betroffen und eine Version steht bis zum Ende des Tages bereit.

Webpersonal ist nicht betroffen

13.12.2021 – 10:00 Uhr

Problemanalyse läuft für die Module Webreise, Webpersonal und Online-Portal (Dokumentanzeige). Nächstes Update 15.30 Uhr

LGA selbst ist nicht betroffen.

Status Run my Accounts: Abgeschlossen

20.12.2021 23:08 Uhr

Update der Webanwendung mit log4j v2.17.0 live

13.12.2021 – 21:41 Uhr 

Die Schwachstelle wurde geschlossen und die Webanwendung ist wieder live

13.12.2021 – 10:00 Uhr 

Notwendige Sicherheitsmaßnahmen wurden getroffen, um diese Lücke zu schließen. Gegen Ende des Tages wird ein Patch eingespielt. 

Status Infoniqa Loga: Abgeschlossen

 

13.12.2021 – 16:25 Uhr

Für alle Infoniqa LOGA Kunden ist das Update eingespielt.

13.12.2021 – 13:40 Uhr 

Die Schwachstelle wurde für alle SaaS Kunden behoben. Infoniqa ist mit allen on-premises Kunden in Kontakt.

13.12.2021 – 10:00 Uhr 

Kunden der Infoniqa, welche die P&I LOGA Lösung einsetzen informieren sich bitte zusätzlich untern https://www.pi-ag.com/ 

Für P&I LogaAll-in Kunden besteht und bestand keine Gefährdungslage, da dort eingesetzte IT-Sicherheitskomponenten Angriffe erkennen und verhindern. 

P&I LOGA OnPremise Kunden gehen wie folgt vor, um die LOGA-Software abzusichern: 

  1. Stoppen sie den LOGA Wildfly Server/Dienst 
  2. Wechseln Sie in das LOGA Installationsverzeichnis. 
    Dies ist üblicherweise ../LOGAWEB oder ../LOGA3/wildfly 
  3. Öffnen Sie die Datei ../configuration/standalone.xml 
  4. Tragen Sie dort im Bereich <system-properties> folgende Zeile ein: 
    <property name=“log4j2.formatMsgNoLookups“ value=“true“/> 
    und speichern. 
  5. Starten Sie den LOGA Wildfly Server/Dienst 

Bis 16:00 Uhr wird für P&I OnPremise Kunden zusätzlich in der P&I HR-BIGDATA ein Update basierend auf 21.10.2 veröffentlicht. 

Diese Produkte sind nicht betroffen:

  • ONE Payroll DE
  • ONE Payroll AT (LGA)
  • ONE Time DE
  • ONE Time AT
  • haveldata NAPA3
  • haveldata NACO6
  • haveldata NATAN
  • haveldata tESSa
  • haveldata Portal
  • haveldata LSR
  • ONE Start
  • ONE 50
  • ONE 200