Sicherheitslücke log4j - GÖPEL electronic Produkte geprüft
Das Bundesamt für Sicherheit in der Informationstechnik warnt aktuell vor einer Sicherheitslücke in der häufig genutzten „log4j“-Bibliothek (Java). Die GÖPEL electronic GmbH nimmt diese Information sehr ernst und hat die möglichen Auswirkungen umgehend geprüft.
Nachfolgend finden Sie eine Übersicht der geprüften Programme.
Verletzbarkeit von GÖPEL electronic Software hinsichtlich der log4j2 Sicherheitslücke:
Automotive Test Solutions
G-API | NICHT verletzbar |
HardwareExplorer | NICHT verletzbar |
WinflashTool | NICHT verletzbar |
Cockpit | NICHT verletzbar |
Net2Run RBS Configurator 2.x | NICHT verletzbar |
Net2Run RBS Configurator 3.x | NICHT verletzbar |
Net2Run RBS Generator 3.x | NICHT verletzbar |
Net2Run IDE | NICHT verletzbar |
Series 61 (Firmware/Onboard Software) | NICHT verletzbar |
Series 62 (Firmware/Onboard Software) | NICHT verletzbar |
Dragon Suite / Dragon Suite Advanced | NICHT verletzbar |
TOM Line | NICHT verletzbar |
Embedded JTAG Solutions
Keine, der von uns verwendeten Softwarekomponenten aus dem Bereich Embedded JTAG Solutions verwendet die Java-Bibliothek oder wurde mit Java programmiert. Die Programme der Embedded JTAG Solutions werden entweder mit Delphi, C++, C# erstellt, zusätzlich kommt QT5 zum Einsatz.
SYSTEM CASCON | NICHT verletzbar |
SCANVISION III | NICHT verletzbar |
Hardlock Software | NICHT verletzbar |
FlexLM (lmtools) | NICHT verletzbar |
FlexNet Version 11.14 (lmadmin) | NICHT verletzbar, siehe unten |
Bei der Lizenzierung mit FlexNet Version 11.14 (Benutzung von lmadmin) kommt Java zum Einsatz. Dazu gibt es folgendes Statement auf der Flexera-Seite:
https://community.flexera.com/t5/Community-Notices/Flexera-s-response-to-Apache-Log4j-remote-code-execution/ba-p/216934
Es wird kommuniziert, dass "FlexNet Manager for Engineering Applications" betroffen sein kann. Und hier insbesondere die Komponente "Flexera Analytics" (Cognos). Diese Komponente wird nicht von GÖPEL electronic benutzt, insofern ist die Software der GÖPEL electronic nicht betroffen.
Eine eigene Analyse der FlexNet-Software hat ergeben, dass Log4j außerdem in einem Java-Beispiel "Alerter" benutzt wird - allerding in der älteren Version 1.2.8. In der Default-Installation wird "Alerter" nicht aktiviert.
Inspektionslösungen
Die Software der Inspektionssysteme von GÖPEL electronic ist nicht von der Sicherheitslücke betroffen.
Die Inspektionssysteme und zusätzliche Softwaremodule dazu aus dem Hause GÖPEL electronic sind sicher, da hier kein von der Sicherheitslücke betroffener Java-Code verwendet wird.