Update zum Apache Log4

Update vom 17. Dezember 2021

Pitney Bowes arbeitet mit Hochdruck an der Behebung der Sicherheitslücke im Zusammenhang mit dem Open-Source-Dienstprogramm Apache Log4j2 (CVE-2021-44228 & CVE-2021-45056). Wir haben unsere Systeme, einschließlich unserer Produkte, inventarisiert, um festzustellen, wo diese Schwachstellen bestehen könnten. Je nach Bedarf haben wir die Schwachstelle entweder durch ein Update auf die neueste Log4j-Version behoben oder in der Zwischenzeit zusätzliche Abhilfemaßnahmen getroffen. Zu diesen zusätzlichen Abhilfemaßnahmen gehören Änderungen an der Log4j-Konfiguration, um die ausnutzbare Funktionalität zu deaktivieren, sowie zusätzliche Kontrollschichten wie Netzwerkkontrollen und Web Application Firewalls, um zu verhindern, dass die Schwachstelle ausgenutzt wird.

 

Nach unserer Kenntnis sind keine Kunden oder Kundendaten von Pitney Bowes betroffen.

 

  • Versandtechnologien
    Unsere physischen Frankiermaschinen waren nie gefährdet und enthalten keine Log4j2-Software. Die Lösungen der SendPro-Familie und die Postverarbeitungs-Systeme, die die Log4j2-Software enthielten, wurden überprüft und sind nicht mehr gefährdet. Als Vorsichtsmaßnahme aktualisieren wir alle unsere älteren Versand-und Mailing-Produkte, die eine frühere Version von Log4j2 enthalten, aber keine davon ist gefährdet durch CVE-2021-44228.

  • Presort
    Presort-Produkte und Dienstleistungen sind nicht gefährdet.

Wir bleiben in höchster Alarmbereitschaft. Unser spezielles Security Operations Center überwacht und überprüft unsere Kontrollen, Protokolle und Warnmeldungen in Echtzeit auf außergewöhnliches Verhalten oder ungewöhnlichen Netzwerkverkehr und überprüft regelmäßig all unsere Produkte und Infrastrukturen. Wir arbeiten weiterhin eng mit unseren Partnern und Zulieferern zusammen, um sicherzustellen, dass sie die notwendigen Patches bereitstellen und ihre Systeme entsprechend aktualisieren.

Wir werden unseren Kunden bei Bedarf zusätzliche Informationen senden. 

 

Update vom 15. Dezember 2021

Pitney Bowes ist sich der kürzlich bekannt gewordenen Sicherheitslücke im Zusammenhang mit dem Open-Source Apache "Log4j2" Dienstprogramm (CVE-2021-44228) bewusst. Wir haben unsere Systeme - einschließlich unserer Produkte – einer Bestandsprüfung unterzogen, um eine mögliche Schwachstelle zu identifizieren. Gleichzeitig haben wir uns davon überzeugt, dass Gegenmaßnahmen getroffen werden, während die Schwachstelle behoben wird.

Wir setzen aktiv Patches und Updates ein, um die Schwachstelle zu beheben. Gleichzeitig arbeiten wir mit Lieferanten und Dienstleistern zusammen, um sicherzustellen, dass sie ihre Systeme aktualisieren. Unser Security Operations Center überwacht weiterhin jedes ungewöhnliche Verhalten oder jeden Netzwerkverkehr, der auf die Ausnutzung dieser Schwachstelle hindeutet.