Am 31.03.2022, wurde die Sicherheitslücke „Spring4Shell“ im Spring Framework für Java öffentlich bekannt gegeben. Diese ist nach verschiedenen Medienberichten allerdings deutlich von der Schwachstelle „Log4Shell“, die gegen Ende letzten Jahres öffentlich wurde, abzugrenzen und wird nach aktuellem Kenntnisstand als weniger kritisch eingestuft. Nach eingehender Betrachtung haben wir zur Problemlösung diverse Anpassungen in unseren Softwareanwendungen vorgenommen. Dementsprechend sind aktuell für Anwender von LAND-DATA Produkten keine weiteren Schritte erforderlich. Wir empfehlen Ihnen jedoch, auch andere in Ihrem Unternehmen eingesetzte Systeme umfassend überprüfen zu lassen.
Im Hinblick auf die ADNOVA+ Software haben wir bereits Sicherheits-Patches eingespielt und Änderungen vorgenommen. Am 01.04.2022 wurde deshalb die ADNOVA+ Version 4.60.3 zur Nutzung bereit gestellt. Für ADNOVA finance haben wir ein automatisches Update bereitgestellt. Mit dieser Änderung („Silent“-Update) mit der nächsten Anschaltung der AD finance wir die Sicherheitslücke beim DiFin geschlossen. Bei Nutzung von Version ADF 22.1.3910 wird die folgende Programm-Datei aktualisiert: dds-client.jar
Das BMEL (Plausi-Programm) hat noch nicht reagiert. Mit dem Lieferanten der „Win-Plausi“ (Bundesministerium für Ernährung und Landwirtschaft) sind wird noch im Austausch. Auch hier beabsichtigen wir eine kurzfristige automatische Aktualisierung.
Laut Microsoft sind nur Umgebungen mit Java JDK 9.0, Entwicklungsbibliotheken von Spring und der Apache Webserver betroffen. Diesbezüglich verweisen wir auf die offizielle Meldung von Microsoft zu „Spring4Shell“ und deren Merkmalen: Hier geht es zum Leitfaden. Weiterführende Informationen finden Sie auf der Plattform it-daily.net.
Sollten Sie diesbezüglich noch weitere Fragen haben, hilft Ihnen der LAND-DATA Benutzerservice gerne weiter.
