In den letzten Wochen haben wir mehrere sicherheitsrelevante Updates durchgeführt. Diese passieren meist im Hintergrund, manchmal wirken sie sich aber auch auf das bestehende System aus. Aus diesem Grund gibt es hier eine kurze Zusammenfassung der Änderungen:

Update PDF-Wandler

Um PDF-Dateien für Formulare oder bspw. Teilnahmebescheinigungen zu erzeugen, bietet HiOrg-Server unterschiedliche Versionen des PDF-Wandlers „dompdf“ an. Wie bereits vor längerem angekündigt, wurden die veralteten Versionen dompdf 0.5.1 oder dompdf 0.6.1 aufgrund von regelmäßigen Sicherheitsupdates nun endgültig abgeschaltet.
Weitere Hinweise finden Sie in unserem vorigen Beitrag, zusätzlich haben wir in unserem Handbuch einen Leitfaden zur Migration von Vorlagen bereitgestellt. Bitte kontrollieren Sie Ihren Vorlagen und aktualisieren Sie diese bei Bedarf.

Abschaltung der öffentlichen Kursangebote (alte Version)

Mit HiOrg-Server KURSE können Ausbildungsangebote nicht nur verwaltet, sondern auch direkt auf der eigenen Webseite eingebunden werden. So können sich potentielle Teilnehmer bequem informieren, zum gewählten Kurstermin anmelden und auf Wunsch direkt per PayPal bezahlen.

Ende 2020 haben wir die neue Oberfläche für öffentliche Kursangebote und Teilnehmeranmeldung vorgestellt, die mittels neuem Link eingebunden werden kann. Im Zuge der laufenden Updates wurde die alte Darstellung nun komplett entfernt und ist nicht länger verfügbar. Sollten Sie es noch nicht getan haben, so müssen Sie die Verknüpfung auf Ihrer Webseite JETZT zwingend austauschen, um weiterhin Kursangebote aus HiOrg-Server präsentieren zu können.

Nachtrag zu Log4J

Im Dezember sorgte eine kritische Sicherheitslücke in der Java-Bibliothek Log4J für Aufregung. Zu diesem Thema haben uns mehrere Nachfragen erreicht.
Die Anwendung HiOrg-Server benötigt zur Ausführung kein Java. Auch auf den Servern, die unmittelbar der Bereitstellung der HiOrg-Server-Anwendung dienen, wird kein Paket eingesetzt welches das betroffene Modul nutzt. Somit ist die HiOrg-Server Kernanwendung von der Lücke nicht betroffen. Von den Anbietern unserer internen Entwicklungsumgebung, Kommunikations- und Projektsoftware gibt es öffentliche Statements, dass die jeweils von uns eingesetzte Software nicht betroffen ist.

Darüber hinaus betreiben wir auf getrennten Servern weitere Dienste, z.B. ein Ticketsystem zur Beantwortung von Supportanfragen und Qualitätsanalyse von Sourcecode. Diese Systeme waren grundsätzlich theoretisch angreifbar, sind jedoch überwiegend nur aus unserem internen Netzwerk erreichbar.  Wir haben trotzdem unmittelbar nach Bekanntwerden der Log4J-Lücke die jeweils von den Herstellern empfohlenen Sofort-Absicherungsmaßnahmen getroffen und nach Verfügbarkeit die entsprechenden Updates eingespielt, so dass wir auch hier keiner Gefahr mehr ausgesetzt sind.

Die Priorität unseres Unternehmens ist die zuverlässige Bereitstellung eines stabilen und fehlerfreien Systems, welches dauerhaft erreichbar und nutzbar ist. Bei Fragen zu diesem oder anderen Themen kontaktieren Sie uns bitte einfach.