Sicherheitslücke Log4j @ SCHWINDT DIGITAL

Am 10. Dezember 2021 ist die kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j bekannt geworden. Wir informieren Sie hier, inwieweit Software aus unserem Haus betroffen ist und welche Aktivitäten erforderlich sind.

CABUM SUITE

CABUM Starter

  • sicher, benutzt kein log4j

OEM Environments

  • sicher, einige OEM Environments enthalten log4j Version 1.x

CABUM Installer

  • sicher, benutzt kein log4j

IDAUS

  • vorhandene log4j wurde bereinigt, es wird kein Webservice verwendet
  • falls noch kein Update durchgeführt wurde, bitte mit uns in Verbindung setzen
  • Bitte kontaktieren Sie uns unter 09561-55600

3DEXPERIENCE

3DEXPERIENCE Server

  • sicher, enthält log4j Version 1.x
  • siehe Knowledge Base QA00000102301

3DEXPERIENCE Native Client

  • sicher, enthält log4j Version 1.x
  • siehe Knowledge Base QA00000102301

3DEXPERIENCE XCAD Client

  • sicher, enthält log4j Version 1.x
  • siehe Knowledge Base QA00000102301

3DEXPERIENCE Collaboration for Microsoft

  • sicher, benutzt kein log4j

Smarteam

  • sicher, benutzt kein log4j

Autovue Viewer

  • auf den Windows-Clients:
    C:\Programme (x86)\AV\bin: die Dateien log4j-api.jar, log4j-core.jar und log4j-web.jar löschen. (Admin-Rechte, falls nicht löschbar Computer durchstarten)
    es werden für den Viewer nur die Dateien log4j-api.jar und log4j-core.jar benötigt. Die problematische log4j-web.jar wird nicht benötigt.

  • Oracle Download: https://dlcdn.apache.org/logging/log4j/2.17.0/apache-log4j-2.17.0-bin.zip herunterladen und auspacken. Im Paket befinden sich die beiden Dateien mit Versionsnummer. Beide Dateien umbenennen (wie oben) und ins Verzeichnis kopieren.
    log4j-api-2.17.0.jar -> log4j-api.jar
    log4j-core-2.17.0.jar -> log4j-core.jar

  • Falls auf dem SmarTeam-Application-Server der Autovue Viewer installiert sein sollte, dann kann dieser am einfachsten über die Deinstallationsroutine entfernt werden, denn er wird nicht benötigt.

CATIA V5

  • sicher, benutzt kein log4j
  • siehe Knowledge Base QA00000102301

DSLS

  • sicher, benutzt kein log4j

Transconnect

Siemens NX

  • unsicher, enthält log4j Version 2.13.x
  • Workaround: remove the unused JndiLookup class from the log4j-core-.jar files that are in the NX install kits
  • Wir stellen Ihnen vorsorglich eine Batch-Datei bereit, die den von Siemens empfohlenen Workaround in unseren Installationen durchführt. Diese muss auf allen Clients, welche NX installiert haben, ausgeführt werden.
  • Bitte kontaktieren Sie uns unter 09561-55600