+- Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik (https://www.alarmforum.de)
+-- Forum: Einbruchmeldeanlagen, Installation / Planung, herstellerunabhängig (/forumdisplay.php?fid=30)
+--- Forum: Technik (/forumdisplay.php?fid=92)
+--- Thema: Log4j - Log4shell (/showthread.php?tid=18861)
Log4j - Log4shell - BH-KW! - 16-12-2021 09:54
Hallo liebe Forengemeinde,
ich weiß nicht, ob es interessant ist, ich jedenfalls finde es, daher mache ich dieses Thema mal auf.
Ich denke, die Sicherheitslücke in der log4j-Software verunsichert neben vielen IT-Abteilungen auch Privat-Anwender. Vielleicht können wir hier so zusammentragen, ob und in welcher Form diese Sicherheitslücke auf Alarmanlagen Auswirkungen haben.
Da ich eine ABUS-Anlage (Secvest) im Betrieb habe, habe ich beim Hersteller ABUS nachgefragt und nach dem "freundlichen" Verweis auf den Errichterbetrieb die schriftliche Antwort erhalten:
"Sehr geehrter Kunde,
sicherlich haben Sie in diversen Medien von der kritischen Java Sicherheitslücke log4j erfahren.
Wir als ABUS sind immer bemüht unsere Produkte auf dem höchsten Sicherheitslevel zu halten und Ihnen bestmögliche Sicherheit zu garantieren.
Wir haben unsere Produkte geprüft und können Ihnen mitteilen, dass unsere Produkte nicht von der Sicherheitslücke log4j betroffen sind.
Weitere Informationen: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=5
Mit freundlichen Grüßen,
Ihr ABUS Team"
Ob nun alle Produkte nicht betroffen sind, oder nur die der Secvest-Reihe, weiß ich nicht.
PS: Ich habe nichts gegen de Hinweis, mich an den Errichter zu wenden. Aber in solch einem Fall ist ja nun der Hersteller derjenige, welcher die Informationen herausgibt, oder sehe ich das falsch? Ist aber Offtopic im Thema, falls ich es falsch sehe, bitte PN! danke!
Und gleich noch die nächste Info, da es auf der Website sehr versteckt ist:
auch die Fritz-Hardware von AVM ist vollständig NICHT betroffen.
Dazu auch hier:
https://avm.de/aktuelles/kurz-notiert/2021/schwachstelle-im-java-projekt-log4j-avm-produkte-nicht-betroffen/
RE: Log4j - Log4shell - AaronK - 16-12-2021 10:10
Log4J ist ja eine Java-Bibliothek. Embedded Systeme werden davon wahrscheinlich kaum betroffen sein, weil die im Regelfall erst gar nicht auf Java aufbauen.
Folgende Hersteller der bei uns angebotenen Produkte haben auch bereits bestätigt, dass in den Geräten die Bibliothek Log4J NICHT in Verwendung ist:
- Jablotron
- Vesta/i-Smart
- Hikvision
- Videofied
Konkrete Aussagen zur Cloud hatte nicht jeder Hersteller getroffen. Halte ich aber auch für unkritisch: Selbst wenn es so wäre, wären die Cloud-Systeme bei Bekanntwerden der Lücke entsprechend umkonfiguriert worden und der Patch aufgespielt worden.
RE: Log4j - Log4shell - Funkalarmprofi - 16-12-2021 17:35
Bei uns ist gestern eine Mail von Daitem eingegangen die bestätigt, dass auch deren Systeme nicht betroffen sind.