log4j - Nexonik Sicherheitstechnik

Dahua Technology Sicherheitshinweis log4j

bild

Nexonik informiert über die log4j Sicherheitslücke mit update für Dahua DSS.

Betroffene Systeme:

Dahua DSS Express (WIN) 

  • V8.000.0000002.0.R.20210506
  • V8.000.0000003.0.R.20210729
  • V8.000.0000004.0.R.20211119

Dahua DSS Pro (WIN) 

  • V7.002.0000005.0.R.20200414
  • V7.002.0000005.1.R.20200703
  • V7.002.0000005.2.R.20201223
  • V8.000.0000002.0.R.20210506
  • V8.000.0000003.0.R.20210729
  • V8.000.0000004.0.R.20211119
  • Dahua DSS 4004-S2 und DSS7016D-S2 (LINUX)
    • V8.000.0000002.0.R.20210728

DAHUA TECHNOLOGY weist im Zusammenhang mit der log4j-Sicherheitslücke darauf hin, dass ein Softwareprodukt des Unternehmens betroffen ist: die "DSS Express und DSS Pro". In unserem Downloadbereich finden Sie die Updates für Windows und für Linux Betriebssysteme, mit einer Installationsanleitung.

Hardware von DAHUA TECHNOLOGY ist nach Angaben des Herstellers nicht betroffen:

  • IPC
  • HDCVI
  • XVR
  • PTZ
  • ITC
  • NVR
  • DVR
  • StorageVideo
  • IntercomAccess Control
  • Alarms
  • Interactive White Boards
  • Video Conferencing
  • IVS
  • SecurityScreening

Software von DAHUA TECHNOLOGY ist nach Angaben des Herstellers nicht betroffen:

  • SmartPSS
  • Toolbox

 

Was ist die log4j-Sicherheitslücke?

Log4j ist eine Anwendung, die Meldungen von Software aufzeichnet, zum Beispiel Fehlermeldungen. So können diese später nachvollzogen werden. Die Anwendung zeichnet allerdings auch andere Mitteilungen auf, die als Zeichenketten von außen kommen: Emailadressen, Nutzernamen, aber auch über eine API verschickte Parameter. Unter bestimmten Umständen werden diese Zeichen allerdings nicht nur gespeichert, sondern auch interpretiert und das stellt die Sicherheitslücke da: so kann unter bestimmten Umständen ein Schadcode ausgeführt werden. In der letzten Woche ist es dazu zum Beispiel bei Anwendungen wie iCloud, Steam oder der Java-Edition von Minecraft gekommen. Das Team von log4j empfiehlt auf seiner Homepage verschiedene Schritte, um die Lücke zu schließen. Sie sind hier zusammengefasst

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die Sicherheitslücke als kritische Schwachstelle (CVE-2021-44228) und warnt vor ihr. Alle Informationen des BSI finden Sie hier.

Securityletter

Securityletter

Mit unserem Securityletter informieren wir Sie über Anwendungen in der Sicherheitstechnik von der Ausgangssituation, dem Bedarf, Auswahl der Systeme über Trainings bis zur Konfiguration der Videoüberwachung.

Jetzt den Securityletter abonnieren
Engineering-High-Tech-Cluster Fulda e.V.
ZEITSPRUNG IT-FORUM-FULDA E.V.
Verband für Sicherheitstechnik e.V.
BHE Bundesverband Sicherheitstechnik e.V.

© Copyright 2019 – all rights reserved – Alle Inhalte, insbesondere Texte, Fotografien und Grafiken sind urheberrechtlich geschützt.
Alle Rechte, einschließlich der Vervielfältigung, Veröffentlichung, Bearbeitung und Übersetzung, bleiben vorbehalten:
Nexonik GmbH – In der Au 9 – 36119 Neuhof – 0049 6655 93 996 99