Alarmstufe Rot? Nicht in Scope!
Die Medien haben dramatisch berichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe 4 ausgegeben: Es gibt Sicherheitslücken in der Java-Bibliothek log4j.
Die Entwarnung vorab:
Scope verwendet die betroffene Bibliothek log4j nicht. Ein Update ist nicht notwendig.
Unabhängig davon hat das Riege Sicherheitsteam die Auswirkungen der Sicherheitslücke umgehend analysiert und die notwendigen Gegenmaßnahmen eingeleitet. Wir haben die Bibliothek in zwei internen Backend-Systemen eingesetzt, diese aber bereits am Samstag gepatched. Aufgrund unseres Netzwerk- und Sicherheitsdesign und da diese internen Systeme keine Eingaben aus dem Internet verarbeiten, halten wir eine Kompromittierung an dieser Stelle für unwahrscheinlich.
Das Riege Sicherheitsteam arbeitet schnell und greift ein, wenn es nötig ist.
Die weitreichenden Notfallpatches, die wir in der Nacht von Freitag auf Samstag durchgeführt haben, dienten dazu, eine Lücke in einer Linux-Kryptographiebibliothek (nss: Memory corruption in decodeECorDsaSignature with DSA signatures (and RSA-PSS) - CVE-2021-43527) zu schließen. Diese ist ebenfalls kritisch, erfährt aber weniger Aufmerksamkeit – und ist nun geschlossen.
Überprüfen Sie auch die Sicherheit Ihrer eigenen Systeme!
Wir haben alles getan, was wir tun konnten. Ergänzend möchten wir Sie nachdrücklich darauf hinweisen, Ihre eigenen Systeme auf Aktualität und Sicherheit zu überprüfen. Nützliche Hinweise dazu finden Sie hier: BSI
Wir bleiben weiter am Ball und halten Sie auf dem Laufenden.
Wir beobachten die Situation weiterhin und erwarten zeitnah Updates von unseren Vorlieferanten, die wir unmittelbar installieren werden. Beeinträchtigungen des Scope-Betriebs durch diese Updates sind unwahrscheinlich, können aber zu diesem Zeitpunkt nicht ausgeschlossen werden. Selbstverständlich werden wir Sie über eventuelle Maßnahmen und mögliche Auswirkungen frühestmöglich informieren.
Wir sind für Sie da. Mit Sicherheit!
Ihr Riege Sicherheitsteam