Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert.
Daher möchten wir Sie nachfolgend mit den notwendigen Informationen über betroffene Produkte versorgen.
Folgende Produkte sind aktuell sicher betroffen:
Poly – https://support.polycom.com/content/support/security-center.html (PLYGN21-08)
- DMA Edge
- DMA Core
- ggf. auch RPAD
Cisco – https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- CUCM ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
- CUPS ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
- Unity Connection ( Versionen 11.5(1)SU7 – 11.5(1)SU10 )
- Contact Center
- SIP Proxy
Nach aktuellem Wissensstand sind die folgenden Produkte nicht von der Sicherheitslücke betroffen:
Pexip – https://www.pexip.com/blog1.0/pexip-statement-on-log4j-vulnerability
Infinity Plattform
Logitech
MTR Systeme
Crestron
MTR Systeme
Cisco
- VCS / Expressway
- CMS
- Videoendpunkte
- TMS
Poly – https://support.polycom.com/content/support/security-center.html (PLYGN21-08)
Videoendpunkte der X- und G7500 Serie
Stand jetzt bietet kein Hersteller gepatchte Software oder Workarounds an. Es muss davon ausgegangen werden, dass Geräte, die aus dem Internet erreichbar sind, bereits kompromittiert wurden. Für weitere technische Hintergründe rufen Sie gerne den nachfolgenden Link auf:
Wir empfehlen, dass direkt aus dem Internet erreichbare Geräte, durch Firewalls isoliert oder heruntergefahren werden, bis Patches zur Verfügung stehen. Zuvor sollten Sie ein Backup der Konfiguration erstellen.
Sollten Sie unsere Unterstützung bei der Bewertung der Situation benötigen oder Rückfragen haben, können Sie uns jederzeit unter support@mvc.de kontaktieren.
Bitte beachten Sie, dass wir in diesem Beitrag ausschließlich auf die von uns verkauften und betriebenen Produkte eingehen und nicht auf die komplette Produktpalette der Hersteller.