Altversionen bitte dringend updaten!
Alle aktuellen SFirm 4 und 4.0-Versionen sind von den aktuellen Java-Sicherheitslücken "Log4J" (Schwachstellen CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2021-44228, CVE-2021-45105 und CVE-2019-17571) nicht betroffen.
Wir weisen in diesem Zusammenhang noch einmal darauf hin, dass ältere Softwareversionen, die keine Updates mehr erhalten (z.B. SFirm 3.2 oder älter) aus Sicherheitsgründen dringend auf SFirm 4 aktualisiert werden sollten.
Weiterhin empfehlen wir Ihnen, Ihr SFirm 4 oder 4.0 dank der automatischen Serviceupdates in SFirm immer automatisch auf dem aktuellen Stand halten zu lassen - ganz im Sinne der Sicherheit und des Schutzes Ihrer sensiblen Daten.
Details:
SFirm nutzt eine EBICS-Übertragungskomponente (Kernel), die Java verwendet. Durchsucht man die SFirm-Verzeichnisse, findet man Dateien mit dem Namen "log4j-1.x.x".
In diesen Versionen ist die Schwachstelle CVE-2021-44228 und CVE-2021-45105 nicht vorhanden. Betroffen sind ausschließlich die Versionen 2.0-beta9 bis einschließlich 2.14.1.
Von der Schwachstelle CVE-2019-17571 ist SFirm nicht betroffen, da der SFirm-EBICS-Kernel die von der Schwachstelle betroffenen ServerSockets nicht verwendet.
Es gibt eine ähnliche Schwachstelle CVE-2021-4104, die sich auf die Versionen 1.x von Log4j bezieht. Von dieser Schwachstelle ist der SFirm-EBICS-Kernel ebenfalls nicht betroffen, da er den durch die Schwachstelle angreifbaren JMSAppender nicht verwendet.
Weiterhin ist der EBICS-Kernel nicht von außen erreichbar und kommuniziert nur mit zertifizierten Bankrechenzentren.
Da für uns die Aktualität und Sicherheit in SFirm eine entscheidende Bedeutung hat, sind wir bereits beim Bekanntwerden der Sicherheitslücken mit dem Hersteller des Kernels in Kontakt getreten. Es wurde uns eine Aktualisierung in Aussicht gestellt, welche auch die Integration der aktuellen Bibliotheken umfasst. Diese werden wir mit Patch 22.11 in SFirm integrieren (erscheint am 15.11.22).
Die Informationen zu den veröffentlichten Patches finden Sie unter https://www.sfirm.de/sfirm/neu-in-sfirm.