myOpenFactory experienced a notice incident on December 13, 2021 affecting Portal (Web-EDI) | portal (web edi), lasting —. The incident has been resolved; the full update timeline is below.
Affected components
Update timeline
- resolved Dec 13, 2021, 12:53 PM UTC
Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Eine solche Remote-Code-Execution war auf den Servern der myOpenFactory nicht möglich. In nächster Instanz wurde festgestellt, dass über dieselbe Sicherheitslücke auch sicherheitsrelevante Informationen (z.B. Umgebungsvariablen) hätten ausgelesen werden können. Nach unseren Analysen konnten wir keine entsprechenden Angriffe auf unsere Systeme feststellen. Dennoch haben wir bereits am Freitag, den 10.12.2021 gegen 21.30 Uhr CET unsere Systeme gegen die oben beschriebenen Szenarien gesichert. !!! Von dieser Sicherheitslücke waren Ihre Kundendaten nicht betroffen !!! Weiterführende Informationen/Hilfestellungen finden Sie unter: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html