14.12.2021

Sicherheislücke log4j

Wir haben nach interner Prüfung festgestellt, das DURIA classic und DURIA² selbst nicht von der als kritisch eingestuften Schwachstelle (log4j bzw. CVE-2021-44228) betroffen sind.

Das KIM+ Modul wurde von uns mit einer verwundbaren Version der Bibliothek ausgeliefert (2.14.1). Jedoch wird das das Modul mit der JRE 11.0.11 betrieben welches JNDI Lookup im Logging standardmäßig deaktiviert hat. Zudem loggt das KIM+ Modul nach unserem Kenntnisstand keine von außen beeinflussbaren Zeichenketten. Das Risiko ist dadurch sehr gering. Trotzdem liefern wir vorsorglich die aktualisierte Version der Bibliothek mit den folgenden Updates aus: DURIA² 5.5.7 und 5.6.1, DURIA classic 4.86.1.

Am 13.12. wurde von uns ebenfalls die Bibliothek im DALE-UV Prüfmodul als betroffen deklariert. Dies war vorschnell, da das Prüfmodul die Version 1.2.14 von log4j einsetzt, welche nicht betroffen ist.

Die KBV hat uns informiert, dass in den Prüfmodulen die Bibliothek ebenfalls zum Einsatz gekommen ist. Uns wurden von der KBV korrigierte Versionen des DMP- Prüfmoduls (Version 486_2) und des Prüfmoduls für die Quartalsabrechnung (Version 486_2) zur Verfügung gestellt, die im Downloadbereich heruntergeladen werden können.

Wir bitten alle Praxen die eingesetzte Software auf mögliche Updates zu prüfen und insbesondere an Stellen, an denen Software bzw. Dienste direkt aus dem Internet erreichbar sind zu prüfen und ggf. temporär zu deaktivieren.

zurück

Anwender Hotline

Wir sind bald wieder für Sie erreichbar

Technische Hotline

Wir sind bald wieder für Sie erreichbar