ov-logo-w ov-logo-b600
Twitter
@orgavision ∙ 23. Nov

Für alle Bildschirmgrößen und Geräte – ergonomischer & übersichtlicher: orgavision ist #mobil 🎉 
Das heutige #Release ist ein #Meilenstein unserer #QM-Software.
https://bit.ly/3nMnN5Q

Wir suchen Talente:
Senior Frontend Development (TypeScript & React) mwd
Du bist Meister im Scrum-Poker und hast tadellose Manieren? Dann bewirb dich jetzt.

Alle Jobs

Sicherheitslücke Java-Library log4j: So schützen wir Ihre Daten

Keine guten Nachrichten an diesem Adventswochenende: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer Sicherheitslücke in der Java-Library log4j, die zu einer „extrem kritischen Bedrohungslage“ führen könne. Natürlich reagierte unser Entwickler-Team sofort und konnte orgavision so absichern.

Lesezeit
5min.

Worum geht es?

Ursache für dieses Sicherheitsproblem ist die Sicherheitslücke CVE-2021-44228. Betroffen ist eine weitverbreitete Java-Library, im Ergebnis ist ein großer Teil aller in Java entwickelten Anwendungen angreifbar.

Diese Java-Library log4j wird für die Generierung von Log-Dateien genutzt: automatisch geführte Protokolle aller oder bestimmter Aktionen von Prozessen. An Stellen, wo Nutzereingaben entsprechend gespeichert werden, haben Angreifer durch die Sicherheitslücke die Möglichkeit, schädlichen Code einzuschleusen.

Ist orgavision betroffen?

Ja, leider war auch orgavision davon berührt, auch unsere Software arbeitet mit der entsprechenden Java-Library log4j. Ganz konkret: orgavision ist ab der Version 2.7.3 vom 22.01.2021 von dieser Sicherheitslücke betroffen.

Was macht orgavision um Ihre Daten zu schützen?

Die gute Nachricht: Unser Entwickler-Team reagierte superschnell und hatte bereits am Samstag sämtliche betroffenen Komponenten in der Cloud-Version von orgavision gesichert und mit der Version 2.13.1-2  aktualisiert. Ein dickes Dankeschön an die Kollegen! Hinweise darauf, dass es zu Angriffen auf orgavision-Kunden gab, haben wir nicht.

Sie nutzen die Enterprise-Version?

Wer orgavision in der Enterprise-Version nutzt, sollte ein Update durchführen um die Sicherheitslücke zu schließen: Dieses steht seit heute (Montag, den 13.12.2021) zur Verfügung. Hierzu müssen Sie einfach den ganz normalen Update-Prozess durchführen.

Insbesondere wenn Ihre orgavision-Installation über das öffentliche Internet erreichbar ist, empfehlen wir, das Update schnellstmöglich durchzuführen. Sollten Sie orgavision ausschließlich in Ihrem internen Netzwerk betreiben, ist die Dringlichkeit geringer, da ein Angriff in diesem Fall nicht durch externe Angreifer möglich ist.

Ist mein orgavision gefährdet?

Nutzen Sie die Cloud-Variante? In dem Fall müssen Sie nichts unternehmen, unsere Entwickler haben die betroffenen Komponenten mit der Version 2.13.1-2  bereits aktualisiert. Sie nutzen die Enterprise-Variante ab Version 2.7.3? Dann empfehlen wir möglichst schnell ein Update durchzuführen – die genauen Information hierzu finden Sie unter der Frage “Wie mache ich als Enterprise-Kunde ein Update?” und “Kann ich Unterstützung beim Update bekommen?”.

Was bedeutet das für die Cloud-Version (SAAS) von orgavision?

Für Nutzer der Cloud-Variante konnten unsere Entwickler bereits am Samstag sämtliche betroffenen Komponenten in der Cloud-Version von orgavision mit der Version 2.13.1-2  aktualisieren.

Was bedeutet das für die Enterprise-Version (On-Premises) von orgavision?

Enterprise-Kunden (On-Premises) sind nur betroffen, wenn Sie die orgavision-Version 2.7.3 oder neuer bei sich installiert haben. Kunden mit einer älteren Version sind nicht betroffen. Wenn Sie eine betroffene Version von orgavision nutzen, sollten Sie ein Update durchführen, um die Sicherheitslücke zu schließen: Dieses steht seit heute (Montag, den 13.12.2021) zur Verfügung. Hierzu müssen Sie einfach den ganz normalen Update-Prozess durchführen.

Wie mache ich als Enterprise-Kunde ein Update?

Sie können das Update wie gewohnt einfach selbst durchführen: Hierzu haben wir eine genaue Anleitung für Sie verfasst, diese finden Sie hier.

Macht es einen Unterschied, ob unser orgavision über das Internet erreichbar ist?

Ja, wenn Sie die Enterprise-Version von orgavision über das öffentliche Internet nutzen, empfehlen wir das Update schnellstmöglich durchzuführen. Nutzen Sie orgavision ausschließlich in Ihrem internen Netzwerk, ist diese Dringlichkeit geringer, da ein Angriff in diesem Fall nicht durch externe Angreifer möglich ist.

Kann ich Unterstützung beim Update bekommen?

Wir helfen natürlich gerne. Aufgrund der Menge der anstehenden Updates müssen wir allerdings priorisieren. Wenn Sie in der Lage sind, das Update selbstständig durchzuführen, so empfehlen wir Ihnen das zu tun, um Ihr orgavision möglichst schnell abzusichern. Sollten Sie Unterstützung benötigen, so kontaktieren Sie bitte unseren Support.

Sie haben noch weitere Fragen?
Auch wenn unser Entwickler-Team Alles unternimmt, um Sie erfolgreich zu schützen: Wir verstehen natürlich, wenn Sie weitere Fragen haben. Rufen Sie uns also gerne an unter +49 30 555 74 72 30 oder besuchen Sie unsere Support-Seite.