Nach ersten Analysen und aktuellem Kenntnisstand sind weder Eigenprodukte von InterCard noch durch InterCard ausgelieferte Fremdprodukte von der zuletzt veröffentlichten Sicherheitslücke im Java-Logging Framework „log4j“ betroffen.

Hintergrund der Überprüfung ist die am Freitag, den 10. Dezember 2021 neu gemeldete gravierende Sicherheitslücke (CVE-2021-44228), bei der Unberechtigte auf triviale Weise Systemzugang erlangen können.

Weder InterCard noch unsere Lieferanten setzen log4j mit dem betroffenen Versionsstand 2.x und jünger ein. Produkte von InterCard werden und wurden nur mit der älteren Version 1.2.x von log4j ausgeliefert, welche nicht von diesem Fehler betroffen ist.

Die Schwachstelle wird durch eine Funktion verursacht, welche in log4j mit Version 2.x eingeführt wurde. Dabei können beliebige Zeichenketten, die von log4j protokolliert werden, als Code interpretiert und ausgeführt werden. Damit können beispielweise Verbindungen zu beliebigen Servern hergestellt und möglicherweise ein Backdoor geöffnet werden.

Die im CVE-2019-17571 beschriebene Schwachstelle für die Version 1.2.x kann in unseren Produkten ebenfalls nicht ausgenutzt werden, da die betroffene Funktionalität („Socket-Server“) nicht verwendet wird.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich bitte an Ihren InterCard-Ansprechpartner oder unsere Hotline +49 7720 9945-55.