Log4j und Versionen unter 2020

[[Ax...]]

Ich habe in den FAQ die Meldung gelesen, dass es keine Probleme bei den Versionen 2020/2021 mit dem der Sicherheitslücke Log4j gibt.
Wenn ich die Meldung:
"Thus, there is no threat for the releases of the GOM Suite, GOM Software 2021 (Final Release as well as Hotfix 1 to Hotfix 3) as well as GOM Software 2020 (Final Release as well as Hotfix 1 to Hotfix 6) and the respective included third-party components.

Information to Java library Log4j vulnerability - GOM FAQ - GOM Connect

richtig interpretiere, können die älteren Versionen betroffen sein? Sehe ich das richtig?

Den letzten Abschnitt der Meldung konnte ich jetzt allerdings nicht nachvollziehen und mir selbst Informationen einholen.
Gruß
Axel Hübner

[[Na...]]

Hallo,

in der Suite kommt man zu den Informationen dazu über das "i" oben rechts, in z.B. ATOS 2020 über die Direkthilfe und dann einen Klick auf das Inhaltsverzeichnis -> General Information -> Legal Notes:

Suite

ATOS 2020

 

Gruß,

Nanno

[[Ax...]]

Vielen Dank für die Antwort.
Da ich nicht die Suite habe, kann ich über diesen Weg nicht selbst etwas prüfen, vor allen nicht bei den älteren Versionen. Die Frage zu den älteren Versionen ist damit immer noch offen.

[[Ch...]]

Hallo Herr Hübner, 
Das untere Bild zeigt den Weg zu den Open Source Angaben über die Direkt Hilfe in der GOM Software, zB. ATOS oder auch GOM Inspect auf.
Die GOM Suite verfügt über eine eigene Liste. 

[[Di...]]

Hallo Herr Hübner,

Hinsicht älterer GOM Software Versionen als GOM Software 2020 gilt, dass diese ja auch Komponenten ältere Stände quelloffener Software (FOSS) und nicht quelloffene Software von Drittanbietern enthält. Diese älteren Stände können Sicherheitslücken enthalten, die erst mit der Zeit aufgedeckt werden. Die GOM aktualisiert daher diese Komponenten bei Bekanntwerden von Sicherheitslücken für die aktuell in Wartung befindlichen Software Versionen. Wir können daher nur empfehlen die jeweils aktuell gepflegten Software Versionen einzusetzen. Eine Aussage, dass log4j auch in älteren Versionen nicht enthalten ist, würde nur dazu führen, dass sich Kunden in Sicherheit wiegen. Aufgrund der enthaltenen älteren Stände der Komponenten ist dies aber irreführend. 

[[Ax...]]

Hallo Herr Meier,

verstehe ich Sie richtig: Lieber dem Kunden gar nichts sagen als die eine Information, dass die EINE Sicherheitslücke nicht vorhanden ist?
Mir ist verständlich, dass man als Entwickler nicht (alle) Sicherheitslücken kennt. Dass die log4j ja schon lange existiert, zeigt es ja. Aber dann kann man doch wenigstens sagen: diese eine Lücke ist nicht vorhanden.  Oder wissen Sie noch von (vielen) anderen Lücken, weshalb man die alte Software nicht mehr einsetzen sollte?

Gruß
Axel Hübner

[[Ch...]]

Hallo Herr Hübner,

wir haben für GOM Software vor 2020 keine umfangreiche Prüfung vorgenommen, ob log4j enthalten ist. Natürlich gehen wir davon aus, dass auch dort log4j nicht enthalten ist und auch nicht in Komponenten von Zulieferern.
Bitte bedenken Sie, dass die Prüfungen, ob Sicherheitslücken in FOSS oder in nur binär vorliegenden Drittanbieterkomponenten vorhanden sind, sehr aufwändig sind. Wir setzen zusätzlich ein Diagnosetool zu diesem Zweck ein. Damit können sogar Binärdateien auf Sicherheitslücken in enthaltenen FOSS Komponenten geprüft werden.
Zudem gilt es alle gefundenen Sicherheitslücken inhaltlich zu bewerten und zu prüfen, ob die Sicherheitslücke in dem Anwendungskontext überhaupt auftreten kann. Diesen enormen Aufwand leisten wir nur für die Software, die in Wartung befindlich ist.
Daher ist eine Aussage zu einer einzelnen Komponente keine vollständige Aussage.

Viele Grüße
Dirk Meier

[[Ax...]]

Vielen Dank für die Rückmeldung. Das ist für mich so verständlich.
Schöne Grüße
Axel Hübner