Schlagwort: update

Entwarnung: QUIPSY® nicht von „Log4Shell“ betroffen!

QUIPSY® ist von der „Log4Shell“ genannten Sicherheitslücke definitiv nicht betroffen. Trotzdem gibt die aktuelle Bedrohung Anlass, sich über die Notwendigkeit regelmäßiger Softwareupdates Gedanken zu machen. In diesem Beitrag erfahren Sie einige Hintergründe zu Log4J und zu Sicherheitsupdates im Allgemeinen.

Sicherheitsinformationen auf der QUIPSY®-Homepage

Wenn Sie sich unschlüssig sind, ob QUIPSY® von einem Sicherheitsproblem betroffen ist, rufen Sie bitte den Bereich Sicherheitshinweise (https://www.quipsy.de/sicherheit) auf unserer Homepage auf, bevor Sie sich an unsere Hotline wenden. Viele Fragen erübrigen sich dadurch bereits.

Was ist eigentlich „Log4Shell“?

Eine Plage unserer Zeit ist die zunehmende Ausnutzung von Sicherheitslücken in Software für kriminelle Machenschaften. Je weiter verbreitet eine Software, um so besser für den Angreifer, denn dann steigt die Chance, zufällig (oder gezielt) auf einen Rechner zu stoßen, an dem eine Lücke offen steht.

Eine sehr weit verbreitete Software ist Log4J. Sie dient eigentlich nur dem Schreiben eines Fehlerprotokolls und ist in unzähligen Standardanwendungen enthalten – unter anderem in veralteten Versionen von SQL Anywhere®, der mit QUIPSY® ausgelieferten Datenbanksoftware von SAP. Log4J kann in den zu schreibenden Protokolleintrag selbständig Texte einfügen, die von anderen, fremden Servern stammen, was man eher selten benötigt und SQL Anywhere® auch nicht aktiv nutzt. Darüber hinaus kann Log4J jedoch seit einigen Releases auch eine externe Software herunterladen, diese dann starten, und sie nach einzufügendem Text befragen. Woher diese Software stammt, entnimmt sie dem zu protokollierenden Text. Und genau hier ist das Problem! Schafft es ein Angreifer, eine Log4J-nutzende Anwendung dazu zu bringen, eine Meldung in das Protokoll zu schreiben, dessen Text er selbst bestimmten kann, dann kann er Log4J damit schlicht und ergreifend anweisen, eine Anwendung von seinem Server herunterzuladen und auf dem „befallenen“ Rechner auszuführen! Typischerweise tut er das, weil er etwas Böses im Schilde führt, die heruntergeladene Software also z. B. ganz direkt Spionage, Sabotage oder Erpressung im „befallenen“ Netzwerk betreibt oder solche kriminellen Akte zumindest maßgeblich unterstützt (z. B. den „befallenen“ PC die Spionage bei einem anderen Unternehmen ausführen lässt, was den tatsächlichen Angreifer damit verschleiert und für die Strafverfolger unerreichbar macht).

Glücklicherweise ist es nicht ganz so einfach, denn zum einen gibt es vielfältige und oftmals bereits aktive Sperren gegen das beliebige Herunterladen und Ausführen von Software (beispielsweise direkt im Betriebssystem verankert oder als externe Sicherheitsanwendung oder -Appliance), zum anderen sind von der als „Log4Shell“ bekannt gewordenen Sicherheitslücke tatsächlich nur einige bestimmte Versionen von Log4J betroffen.

Wir haben QUIPSY® incl. der mitgelieferten Drittprodukte aktiv geprüft und können Entwarnung geben:

  • QUIPSY® selbst benutzte noch nie Log4J und wird es auch in Zukunft nicht tun.
  • SQL Anywhere® 11 benutzte Log4J tatsächlich, jedoch in einer älteren Version, welche die Fähigkeit zum beliebigen Download noch nicht besitzt, also auch von der „Log4Shell“-Sicherheitslücke nicht betroffen ist. SQL Anywhere® 17 hingegen benutzt Log4J gar nicht.

Übrigens ist die Version 11 der Datenbanksoftware weder von SAP noch von uns noch unterstützt; wir raten dringend zum Umstieg auf SQL Anywhere® 17, sofern noch nicht geschehen – ganz unabhängig von „Log4Shell“!

Ist Java denn nicht generell unsicher?

Nein, ganz sicher nicht. Java gilt sogar als ausgesprochen sichere Plattform. Durch ihre extrem hohe Verbreitung stecken die beteiligten Hersteller, wie z. B. Oracle, IBM, SAP, und viele weitere mehr, erhebliche Aufwände, um Java immer sicherer zu machen, und veröffentlichen in rascher Folge Sicherheitsupdates – was auf anderen Plattformen längst nicht üblich ist. Die hohe Verbreitung verleitet Medien aber auch leicht dazu, ihre Berichterstattung etwas zu reißerisch zu gestalten. Objektiv betrachtet ist Java sehr sicher.

Muss ich denn Java nicht laufend updaten?

Ja und nein. Es kommt darauf an, was mit „laufend“ gemeint ist. Zudem müsste man dann ja quasi täglich alle möglichen Bibliotheken updaten, ganz unabhängig von QUIPSY® und Java®, denn Sicherheitslücken gibt es in jeder Software, und täglich kommen neue hinzu. Irgendwann zwischen monatlich und täglich wird der Sicherheitszugewinn dann jedoch marginal, der administrative Aufwand hingegen immens. Ganz ehrlich: Die meisten von uns stört doch bereits der regelmäßige „Windows Patch Day“ von Microsoft! Es gilt, eine vernünftige Mitte zu finden, beispielsweise Anwendungssoftware wie QUIPSY®, unabhängig von aktuellen Schreckensmeldungen, alle paar Monate zu aktualisieren. Zu einer gewissen Regelmäßigkeit des Updatens habe ich ja an dieser Stelle schon einmal in einem älteren Beitrag aufgefordert.

QUIPSY® enthält seit einigen Jahren bereits eine sogenannte LTS-Version von Java, d. h. eine Version, für die von den beteiligten Herstellern Sicherheitsupdates verfügbar sind. Wir aktualisieren zwar das ausgelieferte Java nicht gerade jeden Tag, aber doch regelmäßig – mindestens jedoch, wenn es eine über QUIPSY® tatsächlich ausnutzbare Sicherheitslücke geben sollte. Und in Kürze[*] werden wir den Takt sogar noch verkürzen, sodass ein QUIPSY® Bug Fix auf jeden Fall ein quasi tagesaktuelles Java enthält! Ob sie das dann aber tatsächlich sofort und täglich downloaden und auf allen PCs installieren möchten, bleibt unseren Kunden natürlich selbst überlassen.

[*] Update 24.01.2022: Ab heute enthalten Java Bug Fixes das bei der Veröffentlichung des Bug Fixes aktuelle Java-Release.

Wäre Java 17 denn nicht sicherer als Java 8?

Nein, das ist ein allgemeiner Trugschluss. Die Hersteller von Java bieten für alle LTS-Versionen die gleichen Sicherheitsverbesserungen parallel an. Die Anzahl der enthaltenen Sicherheitsverbesserungen ist nämlich die letzte Stelle der Versionsnummer, nicht die erste! Die erste Stelle stellt hingegen sinngemäß die Anzahl der enthaltenen Features dar. Die 17 hat also mehr Features als 11, die 11 mehr als die 8, aber das sagt nichts über deren Sicherheit aus.

Bietet mir der Wartungsvertrag einen Vorteil?

Mit einem Wartungsvertrag haben Sie, neben anderen Vorteilen, die Möglichkeit, von unserer Homepage Software-Updates, und somit darin enthaltene Sicherheitsupdates, selbständig herunterzuladen. So oft Sie möchten. Wenn Sie es für notwendig halten, auch gerne mehrmals im Monat.

Wir empfehlen grundsätzlich allen Kunden den Abschluss eines Wartungsvertrags.

Fazit

Sie können QUIPSY® beruhigt weiter nutzen, es ist nicht von „Log4Shell“ betroffen, aber Sie sollten ab und zu, also auch unterjährig, die Software aktualisieren. Ein QUIPSY®-Wartungsvertrag bietet einen wichtigen Beitrag zur Sicherheit Ihres Unternehmens.

QUIPSY® Long Term Support: Early Adopter oder „Never Change A Running System“?

Was soll ich downloaden, und wann soll ich updaten?

Im Rahmen des Wartungsvertrags stehen QUIPSY®-Kunden alle unterjährig veröffentlichten QUIPSY®-Releases kostenfrei zum Download bereit. Wer sich im Kundenbereich anmeldet, findet überraschenderweise mehrere Versionen zum Download. Was hat es damit auf sich, und welche ist die „beste“?

Jeder Kunde ist verschieden. Während Kunde A gerne möglichst lange auf einer bestimmten Softwareversion verharrt, getreu dem Motto „Never Change A Running System“ also nur Fehlerbereinigungen (Bug Fixes) einspielen möchte, will Kunde B gerne sofort die neuesten Features einsetzen, um auch die neuesten Betriebssysteme und Geräte nutzen zu können. Kunde C wiederum denkt strategisch voraus, und möchte bereits Einblick in die Software erhalten, bevor diese allgemein verfügbar ist („Beta-Test“). Mit nur einem einzigen Download für alle Kunden, würde also keiner der drei Kunden glücklich werden!

Um für alle Szenarien gerüstet zu sein, hat die Softwareindustrie das Verfahren der sogenannten Release-Trails eingeführt. Hierbei werden verschiedene Software-Linien (Trails) parallel gepflegt, wobei unterschieden wird, was (Bug Fix, Optimierung, neues Feature, etc.) in einen Trail einfließt, und wie oft bzw. wann die nächste Version innerhalb eines Trails erscheint.

QUIPSY® wird aktuell in folgenden Trails gepflegt:

    • „Long Term Support I“ (LTS1) – Die in den letzen 12 Monaten veröffentlichte Hauptversion, angereichert um alle entwickelten Bug Fixes, jedoch ohne irgendwelche zusätzlichen Features gegenüber dieser Hauptversion. Derzeit entspricht dies QUIPSY® 2019.0.1 und ist im Kundenbereich in der Sektion „QUIPSY® 2019“ zu finden. LTS1-Releases finden werktäglich sofort nach Erscheinen eines neuen Bug Fixes statt.
    • „Long Term Support II“ (LTS2) – Die in den letzten 24 Monaten veröffentlichte Hauptversion, angereichert um alle entwickelten Bug Fixes, jedoch ohne irgendwelche zusätzlichen Features gegenüber dieser Hauptversion. Derzeit entspricht dies QUIPSY® 2018.0.1 und ist im Kundenbereich in der Sektion „QUIPSY® 2018“ zu finden. LTS2-Releases finden werktäglich sofort nach Erscheinen eines neuen Bug Fixes statt.
    • „Extended Support“ (ETS) – Die in den letzten 36 Monaten veröffentlichte Hauptversion, angereichert um die Bug Fixes der ersten 24 Monate seit Veröffentlichung der Hauptversion, danach aber nur noch angereichert um Bug Fixes, deren Lösung explizit von Kunden bezahlt wurde, somit ebenfalls ohne irgendwelche zusätzlichen Features gegenüber dieser Hauptversion. Derzeit entspricht dies QUIPSY® 4.39.1 und ist im Kundenbereich nicht zu finden. ETS-Releases finden nur auf verbindliche Bestellung des Kunden statt und werden diesem auf direktem Wege zugestellt.

Eine darüber hinausgehende Pflege (sowohl viel ältere Versionen, als auch die Bereitstellung von „Beta-Versionen“) wird für QUIPSY® aktuell nicht angeboten. In sehr, sehr seltenen Fällen werden Features tatsächlich auch in LTS-Versionen rückportiert, wenn Kunden daraus keine Nachteile entstehen und für alle LTS-Kunden eine dringende Notwendigkeit besteht (Ausnahmen bestätigen die sprichwörtliche Regel).

Schön und gut, aber was ist denn nun das „beste“ Release?

Das kommt ganz darauf an, wie Ihre Unternehmensphilosophie im Bezug auf IT-Pflege im Generellen ist:

  • Grundsätzlich empfehlen wir allen Kunden, mindestens einmal im Jahr ein Update zu installieren, auch ohne speziellen Anlass. Hierdurch ist die Versorgung mit Bug Fixes und Optimierungen sichergestellt, und man verliert nicht „den Anschluss“. Unterjährig macht es durchaus Sinn, innerhalb der gleichen Hauptversion quartalsweise Bug Fixes „pauschal“ einzuspielen. Eine schnellere Frequenz halten wir für nicht notwendig, sofern kein akuter Anlass besteht, da jedes Update ja auch einen gewissen Aufwand und eine Betriebsunterbrechung darstellt. Gleichwohl sollte das aktuelle Bug Fix sofort eingespielt werden, wenn es tatsächlich benötigt wird (z. B. wenn die QUIPSY®-Hotline aktiv dazu auffordert).
  • Grundsätzlich empfehlen wir, einmal im Jahr auf die jeweils aktuelle Hauptversion zu wechseln (ab 01.06.2020 also auf QUIPSY® 2020). Kunden, die die allerneuesten Betriebssysteme anwenden, werden dies vermutlich bereits im Juni, also direkt nach Erscheinen der neuen Hauptversion, tun wollen, um unseren Support für diese Betriebssysteme zu erhalten. Ebenso werden Kunden, die dringend auf ein neues Feature warten, dies eher im Sommer, also recht kurz nach Erscheinen, tun wollen.
  • Alle anderen Kunden sollten unseres Erachtens in den Herbst- oder Wintermonaten umsteigen. In diesem Zeitraum haben wir genug Kapazität frei, um all jenen Kunden beim Umstieg zu helfen, die „nicht ganz so heiß“ auf die neuesten Features sind.
  • Von einem Wechsel auf eine neue Hauptversion binnen eines Jahres absehen sollten unseres Erachtens Kunden nur dann, wenn sie keine neuen Features bzw. keine neuen Betriebssysteme benötigen. Diese Kunden haben dann problemlos zwei Jahre Zeit (so lange läuft ja die Versorgung „ihrer“ Hauptversion mit Bug Fixes im Rahmen des Long Term Support), um sich auf die neuen Features vorzubereiten. Dieses Jahr beispielsweise gehen wir im Modul PMV den Schritt in Richtung „digitalisierte Arbeitswelt“ mit Unterstützung für Touch Screens, Tablets und Smart Phones. Wem diese papierlose Arbeitsweise noch nicht ganz geheuer ist, mag das Update 2020 eventuell gerne in ein Folgejahr legen. Dank der LTS-Trails ist dies problemlos möglich!
  • Grundsätzlich empfehlen wir allen Kunden, die Installation beim Wechsel der Hauptversion (z. B. 2018 auf 2019) nicht eigenständig vorzunehmen, sondern durch unseren Support als kostenpflichtige Dienstleistung. Die Kosten sind gering, und dank der täglichen Routine gelingt der Wechsel einfacher und schneller, als durch die Kunden-IT. Updates innerhalb einer Hauptversion (z. B. 2019.0.1 „Stand Sommer“ auf 2019.0.1 „Stand heute“) können problemlos durch geschultes IT-Fachpersonal anhand der Installationsanleitung selbst angewendet werden.

Jedem das seine!

Die QUIPSY® Release-Trails ermöglichen jedem „seinen“ Weg. Wer immer „top-aktuell“ sein will, setzt am besten immer gleich im Juni auf das neue Pferd. Wer lieber „auf Nummer sicher“ setzt, hat immer zwei Jahre Zeit für den nächsten Wechsel. In Ausnahmen kann es Sinn machen, ein drittes Jahr zu warten, auch wenn dies mit zusätzlichen Kosten verbunden ist. Spätestens nach drei Jahren endet jedoch der Support durch die QUIPSY®-Hotline!

QUIPSY® 2018

Versprochen ist versprochen! Unsere Kunden haben sich gewünscht, dass unsere Releases planbar, nicht zu oft, aber auch nicht zu selten erscheinen sollen. Daher haben wir 2015 versprochen, genau ein Major Release pro Jahr, und zwar exakt am ersten Juni, zu veröffentlichen. Und auch dieses Jahr haben wir unser Versprechen gehalten: Dem aktuellen Trend folgend kam im Sommer unter dem Namen „QUIPSY(R) 2018“ die neue Release heraus!

Neben vielen Verbesserungen an Stabilität und Performance haben wir auch dieses Jahr wieder eine ganze Reihe an sinnvollen Erweiterungen und Kundenwünschen im Paket. Um nur einige davon herauszupicken:

  • Je nach Anwendungsfall erheblich schnellere Messung
  • Erstellen und Bearbeiten von Erstmusterprüfberichten in der Teileverwaltung
  • Doppelklick in der Liste öffnet Bearbeitungsmaske
  • Unterstützung für natürliche Grenzen
  • 64-Bit-Server
  • Unterstützung für Windows(R) Core Server
  • Client-Installation deutlich vereinfacht
  • Serverseitiger E-Mail-Versand statt lokal durch das Messmodul

Die Gesamtübersicht über alle Änderungen ist, wie üblich, in den Release Notes zu finden (Benutzeranmeldung erforderlich). Sie möchten mehr erfahren? Gerne schulen wir den Umgang mit den neuen Features im Rahmen eines Updates. Vor Ort, bei uns, oder in einem Tagungszentrum, ganz wie Sie es wünschen! Interessiert? Wir freuen uns über Ihren Anruf oder Ihre eMail: +49 7231 14737 800 bzw. info@quipsy.de.