log4j Sicherheitslücke – Information über betroffene Produkte unserer Hersteller

  • log4j Sicherheitslücke

Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert.

Daher möchten wir Sie nachfolgend mit den notwendigen Informationen über betroffene Produkte versorgen.

Folgende Produkte sind aktuell sicher betroffen:

Poly – https://support.polycom.com/content/support/security-center.html (PLYGN21-08)

  • DMA Edge
  • DMA Core
  • ggf. auch RPAD

Cisco – https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

  • CUCM ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
  • CUPS ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
  • Unity Connection ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
  • Contact Center
  • SIP Proxy

Nach aktuellem Wissensstand sind die folgenden Produkte nicht von der Sicherheitslücke betroffen:

Pexip – https://www.pexip.com/blog1.0/pexip-statement-on-log4j-vulnerability
Infinity Plattform

Logitech
MTR Systeme

Crestron
MTR Systeme

Cisco

  • VCS / Expressway
  • CMS
  • Videoendpunkte
  • TMS

Poly – https://support.polycom.com/content/support/security-center.html (PLYGN21-08)
Videoendpunkte der X- und G7500 Serie

Stand jetzt bietet kein Hersteller gepatchte Software oder Workarounds an. Es muss davon ausgegangen werden, dass Geräte, die aus dem Internet erreichbar sind, bereits kompromittiert wurden. Für weitere technische Hintergründe rufen Sie gerne den nachfolgenden Link auf:

https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.html

Wir empfehlen, dass direkt aus dem Internet erreichbare Geräte, durch Firewalls isoliert oder heruntergefahren werden, bis Patches zur Verfügung stehen. Zuvor sollten Sie ein Backup der Konfiguration erstellen.

Sollten Sie unsere Unterstützung bei der Bewertung der Situation benötigen oder Rückfragen haben, können Sie uns jederzeit unter support@mvc.de kontaktieren.

Bitte beachten Sie, dass wir in diesem Beitrag ausschließlich auf die von uns verkauften und betriebenen Produkte eingehen und nicht auf die komplette Produktpalette der Hersteller.

© Copyright 2023 MVC Mobile VideoCommunicationGmbH

Erfolgreiche virtuelle Meetings – 7 Tipps Lösung Poly zur Log4J Sicherheitslücke