Apache Log4J Vulnerability - Informationen für Kunden der Avaya GmbH & Co. KG

Gemäß der "Apache Software Foundation" sind folgende "log4shell"-Sicherheitslücken in der Java-Bibliothek log4j 2.x aufgedeckt und im Dezember 2021 geschlossen worden:

1. CVE-2021-44228 - CVSS score  10     log4j 2.15.0

2. CVE-2021-45046 - CVSS Score    9     log4j 2.16.0

3. CVE-2021-45105 - CVSS Score 7.5     log4j 2.17.0

4. CVE-2021-44832 - CVSS Score 6.6     log4j 2.17.1

Anm.: Das Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) ist ein Industriestandard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.

Für Medial/FOIS-Produktreleases sind die ersten zwei Schwachstellen mit den sehr hohen Wertungszahlen CVSS 10 und 9 schon geschlossen worden (siehe Tabelle unten, siehe T-Teil), für Ende Januar 2022 ist ein weiterer Service Pack bzw. Security Patch geplant, sobald abzusehen ist, ob der "Apache Software Foundation" mit der letzten, am 28. Dezember 2021 veröffentlichten Version 2.17.1 tatsächlich das endgültige Schliessen der Sicherheitslücke gelungen ist.

Da Medial/FOIS als Software-Komponente aber weder bei weitem die exponierte Stellung eines Session Border Controllers (SBC) hat, noch eine aus dem Internet von extern erreichbare Webseite bzw. Client erfordert, so ist das Gefährdungspotential deutlich geringer einzuschätzen, als die oben angegebenen CVSS Score für die zwei log4j 2.17.x Versionen.

 

 

Produktfamilie
 
Produkt
 
Release   
 
Von Sicherheitslücke
betroffen?
Permanenter Fix
T-Teil
 
Unified Messaging System C3000 4.x No  
Unified Messaging System C3000 3.x No  
CIE Avaya CIE alle No  
DECT IP-DECT alle No  
Hospitality - Middleware FOIS 6.1 Front Office Integration Server (FOIS) 6.1 Yes 01/21: Patch FOIS V6.0-6.3 log4j2
Hospitality - Middleware FOIS 6.3 Front Office Integration Server (FOIS) 6.3 Yes 01/21: Patch FOIS V6.0-6.3 log4j2
Medial 5.1 Front Office Integration Server (FOIS) 5.1 Yes 02/21: Patch FOIS V6.0-6.3 in Medial 5.1-6.1 log4j2 
Medial 6.0 Front Office Integration Server (FOIS) 6.0 Yes 02/21: Patch FOIS V6.0-6.3 in Medial 5.1-6.1 log4j2 
Medial 6.1 Front Office Integration Server (FOIS) 6.1 Yes 02/21: Patch FOIS V6.0-6.3 in Medial 5.1-6.1 log4j2 
Medial 6.5 Front Office Integration Server (FOIS) 6.5 Yes 03/21: Medial V6.5 (GA)
Medial 4.x Branchen Communcation Server (BCS 4.x) 4.x No  
DialIT QServer / QTAPI 1.0 No  
UC Soft Client Avaya Equinox Attendant 5.0 No  
UC Soft Client Avaya Equinox Attendant 5.2 No  
UC Soft Client Avaya IX Workplace Attendant 5.3 No  
UC Soft Client Avaya Workplace Attendant 5.4 No  
Accounting System IDSWin 5.x No  
Integral Integral Enterprise Edition IEE7 No  
TK - Administration AeM 7.x No  
Healthcare Peripherie IAM 1 alle No  
Unified Messaging System FaxMailPro 4.x No  
UC Soft Client Screen Pop 3.x No  

 

 

Weitere aktuelle Informationen zur Apache Log4j Vulnerability finden Sie auf unserer globalen Support Plattform.

Kontakt:

0800 - 4628292