Wichtige Informationen an alle LucaNet-Kunden
Software-Sicherheitslücken aus dem Netz

Cyber-Angriffe werden immer ausgefeilter - und immer häufiger.  

Für LucaNet als Softwareanbieter für Financial-Performance-Management-Lösungen hat daher der Schutz der hochsensiblen Daten unserer Kunden oberste Priorität. Risiken werden durch unsere Sicherheitsexperten kontinuierlich überwacht, geprüft und bei Bedarf aktualisiert.


Grundsätzlich gilt dringend zu beachten, dass:

  1. Ihre Software auf dem richtigen Patch-Level läuft. Das Build-Datum sollte mit Ihrem LucaNet-Software-Build-Datum übereinstimmen (oder neuer sein).

  2. Der LucaNet.Software Manager aktualisiert werden muss. In der Regel geschieht dies automatisiert. In Umgebungen ohne Administratorrechte, wie beispielsweise Citrix, muss das Update jedoch durch die hauseigene IT erfolgen.

An dieser Stelle informieren wir Sie ab sofort kontinuierlich über alle aktuellen Sicherheitsthemen.
 

Aktuelle Themen

Update kritische Schwachstelle in Log4j

Am Samstag, den 11.12.2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle Unternehmen in der Bundesrepublik Deutschland vor einer Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j gewarnt.

Weitere Informationen zu dieser extrem kritischen Bedrohungslage und deren Bewertung sowie entsprechenden Maßnahmen finden Sie unter www.bsi.bund.de (Kritische Schwachstelle in log4j veröffentlicht).

 

+++ NEUESTE MELDUNGEN KRITISCHE SCHWACHSTELLE IN Log4j +++

03.01.2022

+++ Derzeit verfolgt die LucaNet Group die Schwachstelle im Open-Source-Programm Apache Log4j2 CVE-2021-44832


+++ Im Rahmen des regelmäßigen Patch-Updates wird heute die Log4j-Version 2.17.1 ausgeliefert und während des üblichen Update- und Wartungsfensters zwischen 23:00 und 05:00 Uhr MEZ installiert, wenn Sie LucaNet in der Cloud nutzen. Als On-Premises-Kunde führen Sie das Server-Update bitte wie gewohnt selbst durch.
 

Die folgenden neuen Build-Versionen haben die Log4j-Version auf 2.17.1 aktualisiert:

  • LucaNet 12 LTS - 1911.0.194+3 - EOL - 2022-01-03
  • LucaNet 13 LTS - 2011.0.116+9 - GA - 2022-01-03
  • LucaNet 22 LTS - 2111.0.15+11 - GA - 2022-01-03
  • LucaNet 23.0 - 2112.0.8+10 - EOL - 2022-01-03 (monatlicher Release-Train)
  • LucaNet 23.1 - 2201.0.1+3 - GA - 2022-01-03  (monatlicher Release-Train)
     

+++ Das Update auf V2.17.1 ist nicht zwingend sofort erforderlich, wenn Sie sich auf einer der folgenden Build-Versionen befinden, die das Log4J 2.17.0 Update bereits enthalten:

  • LucaNet 12 LTS - 1911.0.193+13 - EOL - 2021-12-20
  • LucaNet 13 LTS - 2011.0.115+8 - GA - 2021-12-27
  • LucaNet 22 LTS - 2111.0.14+9 - GA - 2021-12-27
  • LucaNet 23.0 - 2112.0.5+14 - GA - 2021-12-20 (monatlicher Release-Train)

Die in Version 2.17.0 behobenen Schwachstellen betreffen Ihr Produkt nicht.

*** Bitte denken Sie daran, auch den LucaNet.Software Manager mit zu aktualisieren.
Das Update wird automatisch zusammen mit der Software durchgeführt. Das Update wird in der Regel automatisch durchgeführt und ist für heute (03.01.2022) während des üblichen Update- und Wartungszeitfensters zwischen 23:00 Uhr und 05:00 Uhr MEZ vorgesehen, wenn Sie LucaNet in der Cloud nutzen. Als On-Premises-Kunde führen Sie das Server-Update bitte wie gewohnt selbst durch.

In Umgebungen ohne Administratorrechte, wie z. B. Citrix, muss das Update durch die hauseigene IT erfolgen. Dafür stellen wir die für Sie passenden MSI-Installationsdateien im Kundenportal zur Verfügung. Eine vorherige Deinstallation des vorhanden LucaNet.Software Managers ist nicht nötig. Im Rahmen der Installation werden die auf dem LucaNet-Server verbliebenen alten Log4j-Bibliotheken automatisch gelöscht.

20.12.2021

+++ Aktuell verfolgt die LucaNet Group die Sicherheitslücke im Open-Source Apache Log4j2 CVE-2021-45105.

+++ Im Rahmen des regelmäßigen Patch-Updates erfolgt heute die Auslieferung der Log4j Version 2.17.0 und wird während des üblichen Update- und Wartungszeitfensters zwischen 23:00 Uhr und 05:00 Uhr MEZ eingespielt, wenn Sie LucaNet in der Cloud nutzen. Als On-Premises-Kunde führen Sie das Server-Update bitte wie gewohnt selbst durch.

+++ Das Update auf V2.17 ist nicht zwingend sofort erforderlich, wenn Sie sich auf einer dieser Build-Versionen befinden:

  • LucaNet 12 LTS - 1911.0.192+3 - EOL - 15/12/2021
  • LucaNet 13 LTS - 2011.0.112+7 - GA - 15/12/2021
  • LucaNet 22 LTS - 2111.0.11+9 - GA - 15/12/2021
  • LucaNet 23.0 - 2112.0.4+7 - GA - 15/12/2021 (monatlicher Release-Train)

Die in der Version 2.17.0 behobenen Schwachstellen betreffen Ihr Produkt nicht. 

*** Bitte denken Sie daran, auch den LucaNet.Software Manager mit zu aktualisieren.
Das Update wird automatisch zusammen mit der Software durchgeführt. Das Update wird in der Regel automatisch durchgeführt und ist für heute (20.12.2021) während des üblichen Update- und Wartungszeitfensters zwischen 23:00 Uhr und 05:00 Uhr MEZ vorgesehen, wenn Sie LucaNet in der Cloud nutzen. Als On-Premises-Kunde führen Sie das Server-Update bitte wie gewohnt selbst durch.

In Umgebungen ohne Administratorrechte, wie z. B. Citrix, muss das Update durch die hauseigene IT erfolgen. Dafür stellen wir die für Sie passenden MSI-Installationsdateien im Kundenportal zur Verfügung. Eine vorherige Deinstallation des vorhanden LucaNet.Software Managers ist nicht nötig. Im Rahmen der Installation werden die auf dem LucaNet-Server verbliebenen alten Log4j-Bibliotheken automatisch gelöscht.

15.12.2021

Information an LucaNet-User, die auch die Lösung SmartNotes im Einsatz haben: SmartNotes ist nicht von der Sicherheitslücke betroffen.

Wir haben von unserem Partner Partner AMANA Consulting GmbH folgende Informationen erhalten:

"Wir nutzen weder die Log4j Bibliothek, noch das entsprechende .NET Äquivalent. Wir sind von der Sicherheitslücke also nicht betroffen. Leider sind intern jedoch Teile unserer Infrastruktur betroffen, weshalb unsere SmartNotes Dokumentation zur Zeit nicht erreichbar ist. Wir bitten Sie die daraus entstandenen Unannehmlichkeiten zu entschuldigen."

13.12.2021

+++ Erstellung Service-Pack für die Version LucaNet 12 LTS. Release 13.12.2021 wird während des üblichen Update- und Wartungszeitfensters zwischen 23:00 Uhr und 05:00 Uhr MEZ eingespielt.

+++ DRINGEND: Update auf LucaNet 22 LTS empfohlen bei Versionen älter als LucaNet 12 LTS, da für Versionen, die älter als LucaNet 12 LTS sind, kein Patch erstellt wird. Kein Support für die Versionen LucaNet 11 LTS und darunter.

+++ Alle Schritte für ein erfolgreiches Update auf LucaNet 22 LTS finden Sie auf unserer Website.

DE-Version: Jetzt updaten

EN-Version: Update now

10.12.2021

+++ Relevante Log4j2-Bibliotheken identifiziert

+++ Log4j auf die Version 2.15.0 aktualisiert

+++ Service-Pack für die Versionen LucaNet 13 LTS und LucaNet 22 LTS erfolgreich erstellt und bereitgestellt

 

FAQs

Wie kann ich sicherstellen, dass meine LucaNet-Software auf dem richtigen Patch-Level läuft?

  • Starten Sie Ihren LucaNet.Financial Client.

  • Navigieren Sie in der Menüleiste auf das „?“ rechts neben „Extras".

  • Klicken Sie auf „Über LucaNet“.

  • Die Informationen unterhalb der Seriennummer sollten, je nach LucaNet-Version, wie folgt lauten:

LucaNet 12 LTS - 1911.0.192+3 - EOL - 15/12/2021

LucaNet 13 LTS - 2011.0.112+7 - GA - 15/12/2021

LucaNet 22 LTS - 2111.0.11+9 - GA - 15/12/2021

LucaNet 23.0 - 2112.0.4+7 - GA - 15/12/2021 (monatlicher Release-Train)

WICHTIG: Das Build-Datum sollte mit Ihrem LucaNet-Software-Build-Datum übereinstimmen.

 

Wie erhalte ich das neueste Service-Pack der LucaNet-Software, wenn meine Build-Version älter als 10.12.2021 (für LucaNet 13 LTS und LucaNet 22 LTS) oder 13.12.2021 (für LucaNet 12 LTS) ist?

  • Vergewissern Sie sich, dass Sie eine LucaNet-Version verwenden, für die es noch Service-Packs gibt.

  • Wenn dies der Fall ist, öffnen Sie den LucaNet.Server Administrator und navigieren Sie zu Einstellungen | Jobsteuerung | Tägliche Jobs | Server neu starten.

  • Aktivieren Sie das Kontrollkästchen Auf neueste Version im aktuellen Release-Train aktualisieren und testen Sie die Verbindung zum Update-Server mithilfe der Aktion Verbindung testen.

  • Nach der Aktivierung des Software-Updates erhalten Sie das Service-Pack während des nächsten Wartungszeitfensters zwischen 23:00 und 5:00 Uhr MEZ.

 

Inwieweit bin ich als Cloud-Kunde von der Log4J-Schwachstelle betroffen: Ist die AWS-Infrastruktur noch sicher?

  • AWS hat hierzu eine offizielle Erklärung abgegeben: Update for Apache Log4j2 Security Bulletin (CVE-2021-44228) (amazon.com)

  • Da wir eine virtuelle, private Cloud betreiben, hat jeder Kunde eine eigene virtuelle Instanz. Diese wird zeitnah von AWS gepatcht. Außerdem können sich unsere Kunden nur mit der LucaNet-Cloud-App verbinden, die auf einem gehärteten Betriebssystem AWS Linux 2 (Amazon Linux 2) läuft. Kein Kunde hat somit Zugriff auf das Betriebssystem.

  • Die Dienste, die wir nutzen, um unseren Kunden und Partnern ein großartiges Erlebnis bieten zu können, sind "S3 Buckets" und "RDS Instances". Das genaue AWS-Statement lautet hierzu wie folgt:

    • S3: Der Dateneingang und -ausgang von S3 ist gegen das Log4j2-Problem gepatcht. Wir arbeiten daran, den Log4j2-Patch auf die S3-Systeme anzuwenden, die getrennt vom Dateneingang und -ausgang von S3 arbeiten.

    • RDS: Amazon RDS und Amazon Aurora arbeiten aktiv an der Behebung des Log4j2-Problems, indem sie Updates einspielen. Die von RDS gebauten relationalen Datenbank-Engines enthalten nicht die Apache Log4j-Bibliothek. Wo Upstream-Anbieter beteiligt sind, wenden wir die von ihnen empfohlenen Abhilfemaßnahmen an. Während der Aktualisierung interner Komponenten kann es zu zeitweiligen Ereignissen kommen.

Einschätzung des Vorgehens:

Die Sicherheitsexperten der LucaNet Group bewerten die Art und Weise, wie die AWS-Infrastruktur für die LucaNet-SaaS-Lösung genutzt wird, als sicher.

Customer Service

Bei Fragen zu Schulungs- und Beratungsleistungen

CustomerService@lucanet.com

Support

Bei Fragen zur Bedienung und technischen Bereitstellung der Software
 

Support
Sales

Bei Fragen zu Ihren Verträgen und Lizenzen
 

Sales