Seit dem Wochenende ist eine neue Tür, oder besser ein scheunentorgroßes Loch für Hacker bekannt. Der Name der Schwachstelle lautet „log4j“.
Was ist log4j ?
Der Begriff log4j ist eine Abkürzung und steht für „Logging for Java“, übersetzt: Meldungsdienst für die Programmiersprache Java. Mit diesem Werkzeug werden Server-Meldungen an passende Ausgabemedien geleitet, z.B. an einen Bildschirm oder Drucker oder in eine Datenbank.
Auswirkungen für magrathea Kunden.
Die Server-Komponenten unserer Produkte sind nicht aus dem Internet erreichbar.
Daher besteht keine Bedrohung aus dem Internet.
Was passiert, wenn die Klinik anderweitig infiltriert wurde ?
Auch wenn sich die Hacker schon in die Klinik eingeschlichen haben, können sie log4j nicht gegen die TIMEBASE® bzw. IDASH® benutzen.
Weiterlesen
Hier ein paar Details:
TIMEBASE® 4
Die TIMEBASE® 4 verwendet andere, sichere Meldungs-Werkzeuge für die Meldungsaufgaben.
TIMEBASE® 4 ist nicht betroffen, kein Update nötig.
TIMEBASE® 3.1
Die TIMEBASE® 3 verwendet log4j nur in sicheren Versionsständen.
TIMEBASE® 3 ist nicht betroffen, kein Update nötig.
IDASH®
IDASH benutzt aufgrund seiner Konstruktion keine speziellen Meldungs-Werkzeuge.
IDASH® ist nicht betroffen, kein Update nötig.
Log4j und Oracle Database der TIMEBASE® 3.1
Die TIMEBASE® 3.1 nutzt eine Oracle Database als Datenbank. Installiert man entsprechend eine Oracle Datenbank auf seinem Server, ist immer eine log4j Datei im Umfang der Oracle-Installation enthalten. Es stellt sich die Frage, ob dieser Umstand die TIMEBASE® 3.1 betrifft.
Die Antwort lautet, dass die Oracle Database in dem von magrathea verwendeten Installationsumfang nicht betroffen ist. Die log4j-Datei liegt zwar auf der Platte, wird aber nicht verwendet.
Betroffen von log4j wären die (sehr kostenpflichtigen) Komponenten „Autonomous Health Framework“ (AHF), „Trace File Analyzer“ (TFA), Spatial und Graph. Diese werden von uns nicht benutzt. Zusätzlich betroffen ist der Oracle SQL Developer. Dieser wird von unseren Kunden nicht genutzt.
Aus dem Gesagten folgt:
o Es sind keine Aktionen bzgl. der Oracle Database von TIMEBASE® 3.1 notwendig.
o Es ist okay, die log4j Datei vorsichtshalber zu löschen, da sie von uns eh nicht verwendet wird.
Soweit der Sachstand und wir freuen uns natürlich, dass unsere Produkte sicher sind und damit auch unsere Kunden.
Sollten Sie Detailfragen haben, kontaktieren Sie gerne unseren Support.