Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt mit hoher Stufe vor einer Komponente. (CVE-2021-44228)

Nach neuesten Nachforschungen und Tests können nun wir folgende Aussage tätigen:
Es bestand zu KEINER Zeit eine Gefahr denn:

Die von uns verwendete Komponente Log4Net.dll hat die für ein Angriffsszenario notwendigen Ports nicht
implementiert. Es ist also nicht möglich die Komponente von außen anzugreifen.

Man schloss voreilig dazu, die Log4Net Komponente, die eine Sprachvariante der log4j Komponente ist, hätte auf Grund ihres Verwandtschaftsverhältnisses ähnliche Zugänge. Dem ist NICHT so.

Für Sie oder Ihre Techniker wichtig

Ein möglicher Angriff erfolgt auf Grund mehrerer Schwachstellen in log4j über die JNDI Api.
JNDI gibt es bei dem .Net Port nicht den wir einsetzen! Es gibt auf der entsprechenden Projektseite auch keine Vulnerability Meldungen seitens Apache Foundation zu diesem Port. D.h. ein wichtiger Aspekt damit der Angriff überhaupt funktioniert ist in der .NET Welt überhaupt nicht vorhanden!

Was ist zu tun?
Die Setronic GmbH wird, wie bereits gestern angekündigt, diese Komponente trotzdem komplett aus dem Programmcode entfernen.

Warum?
Es besteht nach wie vor die Möglichkeit, dass ein Virenscanner diese bisher eingesetzte Komponente trotzdem blockiert. Die Folgen wären ein Beeinträchtigung der Funktion Ihres InfoOffice Systems.
(Nicht die Ihrer Daten)

Wie gehen wir vor?
Alle InfoOffice Systeme werden durch uns geprüft und Teile der Programme von uns ausgetauscht.
Dies ist für Sie kostenfrei.

Was können Sie tun?
Melden Sie sich bei uns – am besten per E-Mail unter support@setronic.de – zur Vereinbarung eines Update Termins oder bereits mit einem Terminvorschlag. Wir melden uns dann bei Ihnen.

Fazit
InfoOffice war und ist sicher!

Wir bitten diese Umstände zu entschuldigen.

Das Setronic-Team