Nexonik informiert über die log4j Sicherheitslücke mit Update für Dahua DSS.
Betroffene Systeme:
Dahua DSS Express (WIN):
- V8.000.0000002.0.R.20210506
- V8.000.0000003.0.R.20210729
- V8.000.0000004.0.R.20211119
Dahua DSS Pro (WIN):
- V7.002.0000005.0.R.20200414
- V7.002.0000005.1.R.20200703
- V7.002.0000005.2.R.20201223
- V8.000.0000002.0.R.20210506
- V8.000.0000003.0.R.20210729
- V8.000.0000004.0.R.20211119
Dahua DSS 4004-S2 und DSS7016D-S2 (LINUX):
- V8.000.0000002.0.R.20210728
DAHUA TECHNOLOGY weist im Zusammenhang mit der log4j-Sicherheitslücke darauf hin, dass ein Softwareprodukt des Unternehmens betroffen ist: die „DSS Express und DSS Pro“. In unserem Downloadbereich finden Sie die Updates für Windows und für Linux Betriebssysteme, mit einer Installationsanleitung.
Hardware von DAHUA TECHNOLOGY ist nach Angaben des Herstellers nicht betroffen:
- IPC
- HDCVI
- XVR
- PTZ
- ITC
- NVR
- DVR
- StorageVideo
- IntercomAccess Control
- Alarms
- Interactive White Boards
- Video Conferencing
- IVS
- SecurityScreening
Software von DAHUA TECHNOLOGY ist nach Angaben des Herstellers nicht betroffen:
- SmartPSS
- Toolbox
Was ist die log4j-Sicherheitslücke?
Log4j ist eine Anwendung, die Meldungen von Software aufzeichnet, zum Beispiel Fehlermeldungen. So können diese später nachvollzogen werden. Die Anwendung zeichnet allerdings auch andere Mitteilungen auf, die als Zeichenketten von außen kommen: Emailadressen, Nutzernamen, aber auch über eine API verschickte Parameter. Unter bestimmten Umständen werden diese Zeichen allerdings nicht nur gespeichert, sondern auch interpretiert und das stellt die Sicherheitslücke da: so kann unter bestimmten Umständen ein Schadcode ausgeführt werden. In der letzten Woche ist es dazu zum Beispiel bei Anwendungen wie iCloud, Steam oder der Java-Edition von Minecraft gekommen. Das Team von log4j empfiehlt auf seiner Homepage verschiedene Schritte, um die Lücke zu schließen. Sie sind hier zusammengefasst.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die Sicherheitslücke als kritische Schwachstelle (CVE-2021-44228) und warnt vor ihr. Alle Informationen des BSI finden Sie hier.