Security Vulnerabilities

Sicherheitshinweis: Log4j Vulnerability und Q-SYS Products

CVE-2021-44228

Erstes Update: 13/12/2021

Log4j ist eine häufig genutzte Java-Bibliothek, die von der nativen API entwickelt und betreut wird. Die Bibliothek ist weit verbreitet und wird in vielen kommerziellen und Open-Source-Softwareprodukten als Logging-Frame für Java verwendet. Mit Hilfe einer neu entdeckten Zero-Day Sicherheitslücke in der weit verbreiteten Log4j Logging-Bibliothek können Angreifer die Ausführung von Code auf betroffenen Servern ermöglichen.

Als Reaktion auf diese Sicherheitslücke haben die QSC Ingenieurs- und Entwicklungsteams eine Prüfung der gesamten Q-SYS Software, Services und Produkte durchgeführt und festgestellt, dass Q-SYS Lösungen nicht für den Log4j Exploit anfällig sind. Dazu gehören:

  • Alle Q-SYS Cores und Peripheriegeräte
  • Alle Q-SYS Software-Anwendungen
  • Q-SYS Reflect
  • QSC-ID Authentifizierungsplattform

QSC nimmt die Sicherheit der Systeme unserer Kunden sehr ernst. Deshalb werden unsere Ingenieurs- und Entwicklungsteams die Situation weiterhin proaktiv überwachen und diese Seite bei Bedarf aktualisieren.

Sicherheitspatches und -funktionen werden regelmäßig durch kostenlose Q-SYS Firmware-Updates veröffentlicht. Zum Zeitpunkt der Erstellung dieses Artikels ist Q-SYS v9 die neueste, unterstützte Hauptversion der Q-SYS Software. Um sicherzustellen, dass Ihre Systeme mit den neuesten Sicherheitsfunktionen und Patches geschützt sind, empfiehlt QSC die Installation der neuesten verfügbaren Firmware-Version. Für Zugang zu den neuesten Q-SYS Firmware-Updates besuchen Sie bitte https://www.qsys.com/qds.

Sicherheitshinweis: Spectre CPU-Schwachstelle

Letztes Update: 1/10/2018

Spectre ist eine kürzlich in gängigen CPU-Architekturen identifizierte Schwachstelle, die Hersteller wie Intel, AMD und ARM betrifft. QSC nutzt Intel- und ARM-Prozessoren auf der gesamten Q-SYS-Plattform. Daher ist Q-SYS anfällig für dieses Problem. QSC ist jedoch aus folgenden Gründen der Ansicht, dass dies ein geringes Risiko ist;

  • Die Schwachstelle benötigt das Ausführen von beliebigen Code auf dem System
  • Um beliebigen Code auszuführen, ist der volle Systemzugriff erforderlich; dieser ist bei den Q-SYS Cores standardmäßig deaktiviert
  • Q-SYS Cores sind Systeme zur einmaligen Verwendung, die es Angreifern schwer machen, Code lokal auszuführen

Dennoch nimmt QSC die Sicherheit der Kundensysteme sehr ernst. Deshalb überwacht das Entwicklerteam die Situation derzeit und testet Patches von CPU-Herstellern, sobald diese verfügbar sind.

Weitere Informationen dazu, wann ein Patch für Q-SYS Kunden zur Verfügung gestellt wird, finden Sie hier.

Sicherheitshinweis: CPU-Sicherheitslücke

Letztes Update: 1/10/2018

Die kürzlich in modernen CPU-Architekturen identifizierte Schwachstelle betrifft hauptsächlich Intel-CPUs, kann aber auch CPU-Produkte anderer Hersteller betreffen. QSC nutzt Intel und andere Prozessoren für die Q-SYS Plattform. Dadurch ist Q-SYS anfällig für dieses Problem. QSC ist jedoch aus folgenden Gründen der Ansicht, dass dies ein geringes Risiko ist;

  • Die Schwachstelle benötigt das Ausführen von beliebigen Code auf dem System
  • Um beliebigen Code auszuführen, ist der volle Systemzugriff erforderlich; dieser ist bei den Q-SYS Cores standardmäßig deaktiviert
  • Q-SYS Cores sind Systeme zur einmaligen Verwendung, die es Angreifern schwer machen, Code lokal auszuführen

Dennoch nimmt QSC die Sicherheit der Kundensysteme sehr ernst. Deshalb überwacht das Entwicklerteam die Situation derzeit und testet Patches von CPU-Herstellern, sobald diese verfügbar sind.

Weitere Informationen dazu, wann die Updates für Q-SYS Kunden verfügbar sein werden, finden Sie hier.