FAQ für Softwarehersteller
Frage:
Wir haben festgestellt, dass das Update mit der Version log4j 2.15 erfolgt ist. Nach unserem Kenntnisstand ist das Problem durch diese Version noch nicht behoben. Wann können wir mit einem Update mit der Version log4j 2.16 rechnen?
Antwort der KBV:
Am 17.12.2021 erfolgte eine Höherstufung von CVE-2021-45046 von einem CVSS 3.7 auf 9.0. Die KBV wird daher den empfohlenen Hotfix durchführen und die, für die Ausnutzung der Schwachstelle verantwortliche JndiLookup-Klasse aus dem Klassenpfad entfernen. Die KBV-Prüfmodule Q4/21 und Q1/22 werden daher Anfang der kommenden Woche (ab 20.12.) erneut zur Verfügung gestellt.
Die neuen Erkenntnisse werden wir in der Weiterentwicklung der Prüfmodule Q1/2022 ff. berücksichtigen und die dann neuste Log4J-Version verwenden, um weitere Angriffsmöglichkeit über diesen Vektor auszuschließen.
Auch hierbei gilt es zu beachten, dass die Programme in der Praxis laufen, die durch eine Firewall geschützt ist und somit nicht direkt aus dem Internet erreichbar ist.
Frage:
In unserem PVS werden die Prüfmodule mindestens der letzten vier Quartale vorgehalten, sodass wir nach der Bereitstellung der Prüfmodule für die Quartale 4/2021 und 1/2022 nach wie vor eine Sicherheitslücke hätten.
Ist es vorgesehen, dass auch hierzu eine Anpassung und Auslieferung erfolgt? Sollte keine Nachlieferung vorgesehen sein, wie sehen Handlungsempfehlungen aus, da diese Prüfmodule ansonsten ggf. entfernt werden müssten?
Antwort der KBV:
Die KBV plant keine Anpassung von Prüfmodulen, welche vor dem 4. Quartal 2021 Gültigkeit hatten. Softwarehersteller haben nach Ansicht der KBV z.B. die folgenden Möglichkeiten Praxen zu unterstützen:
- Ausführung von älteren Prüfmodul Versionen in besonders gesicherten Umgebungen.
- Für den Bereich der Abrechnung kann bspw. zur Prüfung von älteren Abrechnungsdateien - bis zum 2. Quartal 2021 - der Prüfassistent in der aktualisierten Version eingesetzt werden.
- Entfernen der älteren Versionen der Prüfmodule in den Praxen. Bei dem Export von älteren Daten könnte dann auf den Einsatz der Prüfmodule in den Praxen verzichtet werden. Die Verschlüsselung dieser älteren Daten kann mit dem aktuellen Kryptomodul erfolgen. Hintergrund des Verzichts der Prüfung mit den Prüfmodulen ist, dass die Prüfmodule lediglich dazu dienen, sicherzustellen, dass Softwarehersteller die definierten Datenstrukturen korrekt erstellen. Da der Export dieser älteren Daten bis zum gegenwärtigen Zeitpunkt in den Praxen fehlerfrei funktioniert hat und an diesen älteren Datenstrukturen keine nachträglichen Änderungen vorgenommen werden, könnte ggf. auf den Einsatz der alten Prüfmodul verzichtet werden.