Derzeit gibt es eine vom BSI als kritisch eingestufte Sicherheitslücke in „log4j“ (BSI-Referenz: CVE-2021-44228). Die verwundbaren Versionen der Bibliothek „log4j“ sind die 2.0 bis einschließlich 2.14.1.
Wir möchten Sie hiermit informieren, dass unsere Produkte von dieser Lücke nicht betroffen sind. Im Folgenden möchten wir Ihnen die Gründe dafür erläutern:
Banking
Unsere Offline-Banking-Produkte (CoinRoll 123, MultiServ xx, CoinIn 3xy, SafeBag 9xy) verwenden statt der log4j-Bibliothek ein eigenes Log-System. Daher haben die geschilderten Angriffs-Szenarien bei diesen Produkten keine Wirkung.
HESS stellt im Online-Kontext für die CoinIn 3x5-Produkte lediglich das XFS-Framework und die XFS-Treiber zur Verfügung, die ebenfalls nicht log4j, sondern ein eigenes System nutzen. Für etwaige Fragen bezüglich der Verwendung der Apache Log4j Library in der Online Software Installation der CoinIn Geräte (Atruvia/FinanzInformatik), wenden Sie sich bitte an ihren zuständigen Ansprechpartner bei den jeweiligen Rechenzentren.
Zahlungssysteme
Unsere Produkte der Multipay-Automaten-Reihe und deren MultiControl-Steuerung sowie das HESS Zahlungssystem verwenden ein eigenes Log-System und sind somit nicht anfällig.
MPA-Kunden
HESS MPA wird auf Servern betrieben, die auf ein eigenes Log-System setzen. Daher ist dieses Produkt ebenfalls sicher und nicht anfällig für CVE-2021-44228.