Compart - Dokumenten und Output-Management

Kundeninformation zu CVE-2021-44228
("Log4j2/Log4Shell Vulnerability")

Sehr geehrte Compart Kunden,

wie Sie möglicherweise aus der Presse erfahren haben, wurde kürzlich eine Sicherheitslücke in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht. Compart hat unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 10. Dezember 2021 damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten.

 

Welche Compart Produkte sind betroffen?

Ein Compart-Produkt verwendet die von der Sicherheitslücke betroffene Bibliothek ( Log4j2 <=2.14.1). Dabei handelt es sich um:

  • DocBridge® Impress Designer bis einschließlich Version 2.0.1

 

Wie kann die Sicherheitslücke geschlossen werden?

DocBridge® Impress Designer bis Version 2.0.1

  • Compart empfiehlt Nutzern älterer Versionen ein zeitnahes Upgrade auf die neueste Version des DocBridge® Impress Designers. Neuere Versionen als 2.0.1 werden als Plugin für DocBridge® Central ausgeliefert und sind nicht von der Sicherheitslücke in Log4j2 betroffen.
  • Aktuell steht Impress Designer Plugin Version 4.0.1 zur Verfügung. Die Installation erfolgt als NPM Paket, welches Compart Kunden über unsere NPM Registry beziehen können (https://reg-npm.compart.com/).
  • Kurzfristig und bis zur Installation des Upgrades empfiehlt Compart seinen Kunden die hier genannten Gegenmaßnahmen https://logging.apache.org/log4j/2.x/security.html zu implementieren. Hinsichtlich der Auswahl der geeigneten Gegenmaßnahme ist zu beachten, dass Version 2.0.1 des DocBridge® Impress Designers Log4j v2.13.3 verwendet. Noch ältere Versionen verwenden Log4j v.2.8.2.

Was ist mit anderen Produkten, wie beispielsweise DocBridge® Pilot oder DocBridge® Mill?

  • Andere Produkte als DocBridge® Impress Designer (bis Version 2.0.1)  sind von CVE-2021-44228 nicht betroffen.

Was tut Compart darüber hinaus zur Minimierung des durch Log4j2 bestehenden Risikos?

Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch sämtliche interne IT System hinsichtlich ihrer Verwundbarkeit geprüft, die empfohlenen Gegenmaßnahmen eingeleitet sowie verfügbare Patches installiert.

Wir werden die Situation weiterhin genau beobachten und unsere Kunden bei Vorliegen neuer Erkenntnisse zeitnah informieren.

Wir beantworten gerne Ihre Fragen