News

Aktualisierungen

  • 12.01.22: Das neueste Setup 7.0.23 enthält die neue Log4j 2.17.1, die erst nach Erstellung des Setups 7.0.19 erschienen ist. 
  • 23.12.21: Das neueste Setup 7.0.19 enthält ergänzend zum ersten Patch die neue Log4j 2.17, die erst nach Erstellung des Setups 7.0.18 erschienen ist. 

 

Informationen

In der Presse wird derzeit viel über die Log4j Lücke berichtet. Auf Grund der auch bei uns zahlreichen Anfragen zur Log4j Thematik möchten wir Ihnen an dieser Stelle detaillierte Informationen zum dem Thema geben:

Welche CamIQ Versionen und Dienste sind potentiell betroffen?

  • Die Unit Log4j kommt in verschiedenen Modulen/Diensten ab CamIQ 4.x zum Einsatz. Auch ältere CamIQ 7.x Versionen sind hiervon betroffen.
  • Für CamIQ 7.x sind entsprechende Patches im Downloadbereich unserer Webseite verfügbar
  • Die von uns betriebenen CamIQ Webservices (z.B. der CamIQ Connect Server zum Versenden von Push-Nachrichten oder das CamIQ Backend) sind abgesichert

Bei älteren CamIQ Versionen, für die der Support bereits abgelaufen ist, empfehlen wir ein Update auf die aktuelle CamIQ Version durchzuführen. Genauere Informationen zu unterstützen Betriebssystemen und dem Supportzeitraum können Sie dem folgenden Dokument entnehmen:

https://www.camiq.net/de/service-support/faq

 

Benötigen Sie eine Update-Lizenz auf die aktuelle Version CamIQ 7.x, so können Sie das folgende Formular für die Anfrage nutzen:

https://www.camiq.net/de/unverbindliches-update-angebot

 

Falls ein Update auf die letzte CamIQ 7.x Version nicht möglich sein sollte (z.B. weil das CamIQ System noch auf einer älteren Windows Version genutzt wird), beachten Sie bitte die folgenden Hinweise:

Wir empfehlen in diesem Fall die potentiell gefährdeten CamIQ Dienste zu deaktivieren. Nach bisherigen Erkenntnissen betrifft dies ältere Versionen der CamIQ Middleware (CamIQ 4.x - 6.x), welche als Schnittstelle für den Webclient und die CamIQ App (iOS) dient und ergänzend einige kundenspezifische Module, welche nicht im Standard-Setup enthalten sind.

 

Risikobewertung
Die Ausnutzung der potentiellen Sicherheitslücke von Log4j in Verbindung mit CamIQ ist theoretisch möglich. In unseren Tests hat sich allerdings kein Szenario ergeben, in dem Benutzereingaben über die Log4j direkt geloggt werden. Da dies nach unserem Kenntnisstand zwingende Voraussetzung zur Ausnutzung der Sicherheitslücke ist, gehen wir derzeit davon aus, dass Standardszenarien für Angriffe, wie sie z.B. bei Webseiten mit Formularen für Benutzereingaben erfolgen, bei CamIQ nicht greifen. Update 23.12.21: Bitte achten Sie darauf, dass alle Benutzer mit Administrationsrechten (sowohl bei dem CamIQ Server als auch bei allen Modulen wie z.B. besonders dem Dispatcher) mit sicheren Passwörtern versehen sind.

Um das theoretisch trotzdem vorhandene Angriffspotential bei gezielten Angriffen auf CamIQ Systeme zu verhindern, empfehlen wir unabhängig hiervon ein Update auf die letzte CamIQ Version. Weiterhin empfehlen wir regelmäßig Patches für das jeweils eingesetzte Betriebssystem durchzuführen.

 

Die derzeit viel diskutierte Lücke in Log4j zeigt wieder, dass eine laufende Systempflege bei langjährig eingesetzten Produkten sehr wichtig ist.

Für die Pflege der CamIQ Systeme bieten wir die CamIQ Software Maintenance Assurance (SMA) an. Mit der SMA sind die Updates auf das jeweils aktuellste Release über die komplette Laufzeit der SMA (auch über den Gewährleistungszeitraum hinaus) abgedeckt. Falls Sie weitere Informationen zu diesem Thema wünschen, freuen wir uns über Ihre Kontaktaufnahme.