Vorschau ECLASS Webservice

Der schnellste und einfachste Weg, auf ECLASS-Inhalte zuzugreifen!
Kein Datenüberhang / direkt in Ihr System – in Echtzeit / volle Kostenkontrolle / kostenlos für ECLASS Concordance Lizenznehmer
Sie können ECLASS-Kategorieerweiterungen, Release-Updates oder Sprachintegrationen sofort und in Echtzeit direkt in Ihr PIM-, PDM-, PLM-, ERP- oder Shop-System abrufen. Der ECLASS Webservice als neuer Vertriebskanal ermöglicht es Ihnen, genau die relevante Teilmenge der ECLASS Strukturen direkt und ad hoc in Ihr System zu holen.

eCatCreator Version 1.6 ist freigegeben!

eCatCreator™ ist eine PC-basierte Software von Paradine, die einen zuverlässigen elektronischen Produktdatenaustausch unterstützt. Es ermöglicht den Anwendern, einfach und schnell ECLASS-basierte elektronische Produktbeschreibungen oder elektronische Produktkataloge im BMEcat- oder ISO29002-10-Format zu erstellen. eCatCreator™ unterstützt vollständig den ECLASS-Workflow, ECLASS-XML 3.0 und die neueste ECLASS-Version 11.1.

eCatCreator™ Webinare >> neue Termine!

eCatCreator™ unterstützt den zuverlässigen elektronischen Austausch von Produktdaten. Es ermöglicht den Benutzern, einfach und schnell ECLASS-basierte elektronische Produktbeschreibungen zu erstellen. eCatCreator™ unterstützt auch vollständig den ECLASS-Engineering-Workflow. Bitte finden Sie die Termine

hier.

CVE-2021-44228 Mehrere eptos Releases Security Advisory – Apache Log4j2 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt Zum Ende der Metadaten überspringen

Zusammenfassung

CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt

Bulletin aktualisieren bis 17.12.2021 15:00
Beratung Freigabedatum 9. Dezember 2021
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – alle Versionen 5.3 – 6.1

eptos Suchmaschine 2.0 – 2.1
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-44228, CVE-2021-45046
Ausgabe-ID

BASE-1388Sicherheitsanfälligkeit Log4Shell: Entfernte Codeausführung auf log4j2 – CVE-2021-44228 RESOLVED BASE-1393Sicherheitsanfälligkeit Fehler CVE-2021-44228 in Apache Log4j 2.15.0 OPEN
Weitere Informationen https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

https://www.wired.com/story/log4j-flaw-hacking-internet/

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/12/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend/

Übersicht

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschwächt werden.

Zusammenfassung der Anfälligkeit

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert

Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api 2.13 hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – ab Release 6.0

Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.

Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsmaßnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.15.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.15.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Ändern Sie die Startparameter der betroffenen Programme, indem Sie -Dlog4j2.formatMsgNoLookups=true an der Stelle hinzufügen, an der die JVM-Argumente definiert sind (z. B. in der eptos-config-Map oder unter deployment für den Pod selbst)
  • das System neu starten
  • bei Mikrodiensten besteht die nachhaltige Art der Behebung darin, neue Versionen von API-Containern zu installieren

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-44228 oder CVE-2021-45046 zu Ihrer Problembeschreibung hinzu.

Paradine @ BME eLösungstage 2022

Nach 2 Jahren Korona-Pause bietet Paradine die Möglichkeit zum persönlichen Austausch auf der größten Fachmesse für eSOLUTIONS und ePROCUREMENT in Düsseldorf!

Besuchen Sie uns vom 31. Mai bis 1. Juni 2022 auf dem Areal Böhler in Düsseldorf und sprechen Sie mit uns über Themen wie High Quality Master Data, Digitalisierung, Smart Manufacturing und Industrie 4.0 Implementierungen.

Weitere Informationen finden Sie unter www.bme.de/eloesungstage.

Sie können auch ein Zeitfenster für einen persönlichen Termin auf der Messe buchen. Wenden Sie sich dazu an info@paradine.at

Wir freuen uns, Sie auf den eLösungstagen in Düsseldorf zu treffen!

CVE-2021-45105 Mehrere eptos™ Releases – Sicherheitshinweis – Apache Log4j2 <=2.17 schützte nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups.

Übersicht

Die Apache Log4j2-Versionen 2.0-alpha1 bis 2.16.0 (außer 2.12.3) schützten nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups. Dies erlaubt einem Angreifer mit Kontrolle über Thread Context Map Daten einen Denial of Service zu verursachen, wenn eine manipulierte Zeichenkette interpretiert wird. Dieses Problem wurde in Log4j 2.17.0 und 2.12.3 behoben.

Zusammenfassung

CVE-2021-45105 – Apache Log4j2 <=2.17 nicht von unkontrollierten Rekursion von selbst-referentielle Lookups zu schützen.

Log4j 1.x ist von dieser Sicherheitslücke nicht betroffen.

Bulletin aktualisieren bis 22.12.2021 15:00
Beratung Freigabedatum 21. Dezember 2021
Basis-CVSS-Score 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – 6.1

eptos Search Engine 2.0 – 2.1 nur, wenn die Protokollierung von Api’s eingeschaltet ist (Standard aus).
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-45105
Ausgabe-ID

BASE-1396Sicherheitsanfälligkeit Log4Shell: CVE-2021-45105 BEHOBEN
Weitere Informationen https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Zusammenfassung der Anfälligkeit

eptos core verwendet Log4j2 2.16 ab Release 6.1 und nach der Behebung von CVE-2021-44228 Mehrere eptos-Releases Sicherheitshinweis – Apache Log4j2 nicht gegen von Angreifern kontrollierte LDAP- und andere JNDI-bezogene Endpunkte geschützt

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – beginnend mit Release 6.0, daher gibt es keine unmittelbaren Auswirkungen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.17.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.17.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Prüfen Sie, ob bei den APIs die Protokollierung eingeschaltet ist.

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-45105 zu Ihrer Problembeschreibung hinzu.

Wir sind umgezogen!

Wir möchten Sie darüber informieren, dass wir umgezogen sind. Sie finden uns im selben Gebäude, Treppenhaus 1, 4. Stock.
Unsere Adresse bleibt unverändert: Technologiestraße 5, 1120 Wien, Österreich

eptos™ ECLASS-CDP Connector – Paradine stellt ein neues Modul zur Nutzung der ECLASS Web-Services vor

Mit dem eptos™ ECLASS CDP-Connector bietet Paradine eine neue eptos™-Schnittstelle zur Nutzung der ECLASS-Webservices in der ECLASS Content Development Platform.

Einzelne ECLASS-Elemente oder Bereiche können aus einem ECLASS-Release ausgewählt und per Webservice in das eptos™ Stammdatensystem übertragen werden. Die Webservices können auch für Release-Upgrades genutzt werden.

Weitere Informationen erhalten Sie unter sales@paradine.at und das Datenblatt finden Sie hier.