Sicherheitsproblem mit log4j bei Cloud-TSE
Wahrscheinlich haben Sie von den anhaltenden Sicherheitsproblemen mit log4j, dem Java-Logging-Framework, gehört.
fiskaltrust verwendet diese Bibliothek in keinem ihrer eigenen Produkte und somit sind nach unserem derzeitigen Kenntnisstand keine angebotenen Dienste der fiskaltrust betroffen.
fiskaltrust liegen bereits Informationen diverser Anbieter vor, die von dieser Sicherheitslücke betroffen sind. Alle Anbieter arbeiten mit Hochdruck an einer Lösung.
SwissbitCloud und DeutscheFiskal Benutzer mit entsprechenden SCUs haben, wie von DF/SB vorgeschlagen, zwei Möglichkeiten, die Sicherheitslücke zu schließen.
- Manuelles Setzen der Umgebungsvariablen auf dem Client, der die FCC ausführt, wie folgt: LOG4J_FORMAT_MSG_NO_LOOKUPS=true
- Sollte dies nicht möglich sein, wird Benutzern empfohlen zu warten, bis die neue FCC-Version freigegeben wird. Sobald dies geschieht, wird eine neue SCU-Version veröffentlicht und die FCC automatisch aktualisiert. Benutzer können die Sicherheitslücke beheben, indem sie die SCU ohne zusätzlich notwendige Schritte aktualisieren.
Wir stehen im ständigen Austausch mit den Anbietern und informieren sie bezüglich zu den weiteren Entwicklungen auf unserem Blog.
Bei weiteren Fragen wenden Sie sich bitte an sales@fiskaltrust.de.
English version below:
Probably you have heard of the ongoing security gap with log4j, the java logging framework.
fiskaltrust does not use this library in any of its own products and therefore currently no services offered by fiskaltrust are affected.
Furthermore fiskaltrust already has been informed and is actively requesting information from various providers who might be affected by this security gap. All providers are working out on a permanent fix.
SwissbitCloud and DeutscheFiskal users with appropriate SCUs have two options for closing the security gap, as suggested by DF / SB:
Users of the affected SCUs have two options, as suggested by DF/SB:
- Set the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS=true manually on the PC on which the FCC is running
- In case this is not possible, users should wait until the new FCC version is released. As soon as this happens a new SCU version that automatically updates the FCC will be released. After that users can fix the security issue by updating their SCU without any further steps.
In case of any additional questions please reach out to sales@fiskaltrust.de.