<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=3260841&amp;fmt=gif">

100% digitale End-to-End Customer Journeys für:

Behörden/eGovernment »

Banken »

Versicherungen »

Digitale & individuelle Rechnungsstellung mit Twint-Anbindung & weiteren Funktionen für:

Energieversorger »

Standardisiere deine HR-Prozesse - 100% digital!

Human Resources »

Von der Strategieberatung bis hin zur Projektdurchführung:

Expertise »

Wir sind deine Spezialisten, wenn es um folgende Themen geht:

Online Formulare »

Digitale Signatur »

Digitale 360°-Kommunikation »

Wir stehen dir zur Seite!

Service Desk »

Plattform Status »

Antragsstrecken, Formulare und Verträge 100% digital

 

logo-ajila-forms-hub-v1

 

Rechtsgültig digital signieren

 

SwisscomSign-Logo

 

Digitale Kundenkommunikationen auf allen Kanälen

 

logo-ajila-communication-hub-v1

 

Bereit für eine neue Herausforderung? Werde teil von unserem Team!

Karriere »

Lerne uns und unser Team kennen:

Das sind wir »

Wir verkörpern unsere Werte - sei ein Teil davon.

Werte »

Log4j Remote Code Execution Vulnerability (CVE-2021-44228) Dez. 2021

Kritische Schwachstellen in der Java-Logging-Bibliothek Log4j

Valeria Di Dato, Marketing/Kommunikation, ajila ag

Am 9. Dezember hatten Sicherheitsforscher auf eine kritische Schwachstelle in der Java-Logging-Bibliothek Log4j aufmerksam gemacht. Apache Log4j ist ein Java basiertes Framework zum Loggen von Anwendungsmeldungen, das weltweit von unzähligen Unternehmen eingesetzt wird.

 

Dieses Risiko dieser Sicherheitslücke gilt es so rasch als möglich zu minimieren.

Was macht ajila?

  • Nach Bekanntwerden der Schwachstelle hat ajila umgehend entsprechende Sicherheitsmassnahmen eingeleitet.
  • Alle Komponenten auf dem ajila Forms Hub haben wir bereits gepatcht.
  • Unsere Projekt-Teams sind im Kontakt mit ihren technischen Kontaktpersonen für Applikationen, welche durch ajila entwickelt und durch sie betrieben werden.
Nach aktuellem Kenntnisstand sind unsere Produkte Digital Deals und Blink von der Schwachstelle nicht betroffen. Dies betrifft unsere Eigenentwicklungen sowie die von uns eingesetzte Version des Adobe Experience Manager Forms (OSGi Stack). Ebenfalls nicht von der Schwachstelle betroffen ist der ajila Spotter.
 

Update 20. Dezember 2021:

Am 18.12.21 wurde bekannt, dass log4j noch eine weitere als "hoch" eingestufte Sicherheitslücke enthält https://logging.apache.org/log4j/2.x/security.html. Diese wurde im aktuellen Release 2.17 behoben. Keiner der ajila cloud services ist von dieser Schwachstelle betroffen.

Ansonsten gelten die gleichen Empfehlungen wie bereits in diesem Artikel publiziert. Wichtig zu verstehen ist jedoch, dass Release 2.16 und frühere 2.x Releases  je nach Einsatzart noch Schwachstellen aufweisen und darum empfielt ajila, nur den aktuellen Security Release (zum aktuellen Zeitpunt ist dies v2.17) einzusetzen.
 

Update 17. Dezember 2021:

Nach den aktuellsten Informationen von OpenText können wir bestätigen, dass Adformio nicht von der Schwachstelle betroffen ist. 
 

  Details zu Adobe Experience Manager Forms
Gemäss folgendem Hinweis von Adobe sind die folgenden Produkte von der Schwachstelle betroffen:
 
  • Experience Manager 6.5 Forms on JEE (all versions from 6.5 GA to 6.5.11)
  • Experience Manager 6.4 Forms on JEE (all versions from 6.4 GA to 6.4.8)
  • Experience Manager 6.3 Forms on JEE (all versions from 6.3 GA to 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Automated Forms Conversion Service
Die nachfolgenden Produkte sind NICHT betroffen:
  • Experience Manager Forms Workbench (all versions)
  • Experience Manager Forms on OSGi (all versions)
Details zu OpenText Exstream
Gemäss folgendem Hinweis von OpenText (Support Login nötig) sind die folgenden Produkte von der Schwachstelle betroffen:
  • OTDS ab der Version 20.1.1
  • Exstream (Cloud-Native) 20.4 und 21.2
 
Die nachfolgenden Produkte sind NICHT betroffen:
  • Exstream 21.3 (Server Based)
  • Exstream bis Version 16.6.x
  • StreamServe 5.6.x und alle unterstützten DP Live releases
  • Alle «Core Exstream» Komponenten wie den Designer und die engine (alle Versionen)
  • Sämtliche «Orchestration», «Command Center» und «Communications Server» Versionen
  • Empower
  • AFP tools

Was muss ich als Kunde tun?

  • Wir empfehlen allen Kunden ihre eigenen und eingekauften Applikationen auf die Log4j Schwachstelle hin zu prüfen und sobald vorhanden umgehend die entsprechenden Sicherheitspatches einzuspielen.
  • Für weitere Informationen und Unterstützung wenden Sie sich bitte an Ihr ajila Projekt-Team. 

Weiterführende Informationen

Wir werden weiter die Situation beobachten und den Artikel mit neuen Erkenntnissen aktualisieren