Paradine @ BME eLösungstage 2022

Nach 2 Jahren Korona-Pause bietet Paradine die Möglichkeit zum persönlichen Austausch auf der größten Fachmesse für eSOLUTIONS und ePROCUREMENT in Düsseldorf!

Besuchen Sie uns vom 31. Mai bis 1. Juni 2022 auf dem Areal Böhler in Düsseldorf und sprechen Sie mit uns über Themen wie High Quality Master Data, Digitalisierung, Smart Manufacturing und Industrie 4.0 Implementierungen.

Weitere Informationen finden Sie unter www.bme.de/eloesungstage.

Sie können auch ein Zeitfenster für einen persönlichen Termin auf der Messe buchen. Wenden Sie sich dazu an info@paradine.at

Wir freuen uns, Sie auf den eLösungstagen in Düsseldorf zu treffen!

CVE-2021-44228 Mehrere eptos Releases Security Advisory – Apache Log4j2 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt Zum Ende der Metadaten überspringen

Zusammenfassung

CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt

Bulletin aktualisieren bis 17.12.2021 15:00
Beratung Freigabedatum 9. Dezember 2021
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – alle Versionen 5.3 – 6.1

eptos Suchmaschine 2.0 – 2.1
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-44228, CVE-2021-45046
Ausgabe-ID

BASE-1388Sicherheitsanfälligkeit Log4Shell: Entfernte Codeausführung auf log4j2 – CVE-2021-44228 RESOLVED BASE-1393Sicherheitsanfälligkeit Fehler CVE-2021-44228 in Apache Log4j 2.15.0 OPEN
Weitere Informationen https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

https://www.wired.com/story/log4j-flaw-hacking-internet/

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/12/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend/

Übersicht

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschwächt werden.

Zusammenfassung der Anfälligkeit

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert

Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api 2.13 hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – ab Release 6.0

Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.

Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsmaßnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.15.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.15.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Ändern Sie die Startparameter der betroffenen Programme, indem Sie -Dlog4j2.formatMsgNoLookups=true an der Stelle hinzufügen, an der die JVM-Argumente definiert sind (z. B. in der eptos-config-Map oder unter deployment für den Pod selbst)
  • das System neu starten
  • bei Mikrodiensten besteht die nachhaltige Art der Behebung darin, neue Versionen von API-Containern zu installieren

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-44228 oder CVE-2021-45046 zu Ihrer Problembeschreibung hinzu.

Wir sind umgezogen!

Wir möchten Sie darüber informieren, dass wir umgezogen sind. Sie finden uns im selben Gebäude, Treppenhaus 1, 4. Stock.
Unsere Adresse bleibt unverändert: Technologiestraße 5, 1120 Wien, Österreich

eptos™ ECLASS-CDP Connector – Paradine stellt ein neues Modul zur Nutzung der ECLASS Web-Services vor

Mit dem eptos™ ECLASS CDP-Connector bietet Paradine eine neue eptos™-Schnittstelle zur Nutzung der ECLASS-Webservices in der ECLASS Content Development Platform.

Einzelne ECLASS-Elemente oder Bereiche können aus einem ECLASS-Release ausgewählt und per Webservice in das eptos™ Stammdatensystem übertragen werden. Die Webservices können auch für Release-Upgrades genutzt werden.

Weitere Informationen erhalten Sie unter sales@paradine.at und das Datenblatt finden Sie hier.

COVID-19 Information

Sehr geehrte Kunden!

in der gegenwärtigen unsicheren Situation in Bezug auf COVID-19 verpflichtet sich Paradine, Ihr Unternehmen während der gesamten Dauer dieser Pandemie zu unterstützen und die Kontinuität des Dienstes zu jeder Zeit zu gewährleisten.

Bitte beachten Sie dies:

Unsere Mitarbeiter arbeiten jetzt im Home Office, um ihre Gesundheit und die unserer Kunden zu gewährleisten. Dies unterliegt jedoch keinerlei Einschränkungen und Ihr Ansprechpartner ist wie gewohnt per Telefon und E-Mail erreichbar.
Geschäftsreisen in Österreich/Deutschland und ins Ausland finden bis auf Weiteres nicht statt. Angesichts der Ein- und Ausreisesperren vieler europäischer Länder ist dies weder sinnvoll noch möglich.
Anstelle von Vor-Ort-Terminen werden wir verstärkt die Möglichkeiten der Abstimmung über Telefon- und Videokonferenzen nutzen, um Projekte konstruktiv voranzutreiben und Projektverzögerungen zu vermeiden.

Bleiben Sie gesund!

Webinar statt Seminar!

Aufgrund der aktuellen Situation stornieren wir ALLE für das 1. Halbjahr 2020 geplanten Seminare.

Alle Anmeldungen können KOSTENLOS storniert oder auf Webinare umgebucht werden.
Zahlungen werden zurückerstattet oder können auf Webinare angerechnet werden.

eCl@ss-Einführungsseminare – Europa – Wien und Frankfurt

Die nächsten eCl@ss-Einführungsseminare beginnen in Kürze im Jahr 2020! Die Teilnehmer erhalten einen umfassenden Überblick über eCl@ss, lernen Best-Practice-Implementierungen kennen und werden über eCl@ss im Kontext von Industrie 4.0 informiert. Die Seminare werden auch als firmeninterne Veranstaltungen in englischer, chinesischer und deutscher Sprache angeboten. Weitere Informationen finden Sie hier.

Zielgruppen:
Materialstammdatenmanagement / Beschaffung / Controlling / Normung /
Katalogdatenmanagement / Engineering / Instandhaltung / Ersatzteilmanagement

NEUE TERMINE in 2020!
10.03.2020 – Wien, AT (deutsch)
11.03.2020 – Frankfurt, Deutschland (deutsch)
22.04.2020 – Frankfurt, DE (deutsch)
23.04.2020 – Wien, AT (deutsch)
06.05.2020 – Wien, AT (englisch – NEU!)
16.06.2020 – Wien, AT (deutsch)
17.06.2020 – Frankfurt, Deutschland (deutsch)
Firmeninterne Seminare – auf Anfrage