In Bezug auf die o.a. Sicherheitslücke möchten wir Sie darüber informieren, dass in unseren Produkten SwyxWare und SwyxON sowie allen Add-Ons, wie z.B. Swyx Analytics oder Swyx VisualGroups, die Log4J-Bibliothek nicht genutzt wird. Die Produkte sind daher nicht von der Zero-Day-Lücke (CVE-2021-44228) betroffen.
Microsoft hat uns bestätigt, dass mit der Installation von MSSQL Express 2019 , Teil des Swyx DVD Pakets, automatisch log4j.jar Dateien in der Version 1.2.x installiert werden. Diese Version ist nicht von der schweren Zero-Day Lücke in CVE-2021-44228 betroffen und wird auch nur benutzt, wenn Drittapplikationen über JAVA Zugriffe auf den MSSQL Server durchführen. Unsere Swyx Software nutzt keine JAVA basierten Zugriffe, so dass durch die Nutzung von SwyxWare zu keinem Zeitpunkt einen Angriff über die oben genannte Lücke ausgeführt werden kann.
Wenn ein Kunde Java-Unterstützung installiert und Java-Archive (JARs) einsetzt, die von der Log4j 2-Bibliothek abhängen, empfiehlt Microsoft, auf die neueste Version zu aktualisieren oder die Java-Archive (JARs) zu entfernen, die diese Abhängigkeit erfordern.
Für Software und Hardware der folgenden Hersteller liegen uns bisher Rückmeldungen vor:
ASCOM (DECT 800): nicht betroffen
AudioCodes (SwyxConnect) Mediagateways / Mediapacks: nicht betroffen
C4B: nicht betroffen -> https://www.c4b.com/de/news/log4j.php
ESTOS: nicht betroffen -> estos von kritischer Schwachstelle in log4j (CVE-2021-44228) nicht betroffen
Swyx Analytics / Aurenz: nicht betroffen -> Support für Businesspartner (aurenz.de)
Atos / Unify: Telefone nicht betroffen -> Security Advisory (unify.com)
Jabra Direct und Hardware: nicht betroffen
RTX (DECT 500): nicht betroffen
Yealink: Hardware nicht betroffen
POLY: nicht betroffen ->
https://support.polycom.com/content/dam/polycom-support/global/documentation/plygn-21-08-poly-systems-apache.pdf
Microsoft hat uns bestätigt, dass mit der Installation von MSSQL Express 2019 , Teil des Swyx DVD Pakets, automatisch log4j.jar Dateien in der Version 1.2.x installiert werden. Diese Version ist nicht von der schweren Zero-Day Lücke in CVE-2021-44228 betroffen und wird auch nur benutzt, wenn Drittapplikationen über JAVA Zugriffe auf den MSSQL Server durchführen. Unsere Swyx Software nutzt keine JAVA basierten Zugriffe, so dass durch die Nutzung von SwyxWare zu keinem Zeitpunkt einen Angriff über die oben genannte Lücke ausgeführt werden kann.
Wenn ein Kunde Java-Unterstützung installiert und Java-Archive (JARs) einsetzt, die von der Log4j 2-Bibliothek abhängen, empfiehlt Microsoft, auf die neueste Version zu aktualisieren oder die Java-Archive (JARs) zu entfernen, die diese Abhängigkeit erfordern.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.