|
Liebe Leserinnen und Leser,
am Donnerstag, dem 20.1.2022, stellt die BRAK die neue beA-Anwendungskomponente 3.8.7 als Update zur Verfügung. Durch das Update wird auch die neue Version der beA Client-Security 3.9.0.8 installiert. Hiermit wird die Log4J-Bibliothek auf die Version 2.17.0 aktualisiert.
Zum Hintergrund: Wie wir Ihnen im Dezember des vergangenen Jahres auf dem beA-Anwenderportal mitteilten, wurde am 10.12.2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine kritische Schwachstelle in der Java-Bibliothek Log4J gemeldet, die auch beA-Komponenten betraf. Mit einem Update wurde umgehend eine Beseitigung der Schwachstelle vorgenommen, indem ein konfigurierbarer java_opts Parameter „Dlog4js.formatMsgNoLookups=true“ ergänzt wurde. Anschließend wurden weiterführende Meldungen zu der Java-Bibliothek Log4J veröffentlicht, von denen jedoch nach umgehender Prüfung die beA Client-Security nicht betroffen ist. Einen diesbezüglich geeigneter Patch hat der Herausgeber mit der Version 2.17.0 bereitgestellt, welche wir nun ebenfalls in die beA Client-Security integriert haben.
Mit dem Update vom 20.1.2022 wird die Log4J-Bibliothek auf diese neue Version gebracht. Auch ohne Durchführung dieses Updates ist die Sicherheit des beA-Systems gegeben. Sie können die bisherige beA Client-Security Version 3.9.0.7 weiterhin nutzen. Das Update ist für die weitere beA-Nutzung also nicht zwingend, wird aber von der BRAK empfohlen. Weitere Informationen hierzu enthält das beA-Anwenderportal.
Ihr beA-Team |
|
|
|
