Neue beA-Anwendungskomponente 3.8.7

Am Donnerstag, den 20.01.2022, stellt die BRAK die neue beA-Anwendungskomponente 3.8.7 als Update zur Verfügung. Durch das Update wird auch die neue Version der beA Client-Security 3.9.0.8 installiert. Hiermit wird die Log4J-Bibliothek auf die Version 2.17.0 aktualisiert.

Hintergrund für die Zurverfügungstellung des Updates ist, dass am 10.12.2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine kritische Schwachstelle in der Java-Bibliothek Log4J gemeldet wurde, die auch beA-Komponenten betraf. Mit einem Update wurde umgehend eine Beseitigung der Schwachstelle vorgenommen. Wir verweisen diesbezüglich auch noch einmal auf unsere Meldung vom 15.12.2021.

Anschließend wurden weiterführende Meldungen zu der Java-Bibliothek Log4J veröffentlicht, von denen jedoch nach umgehender Prüfung die beA Client-Security nicht betroffen ist. Einen diesbezüglich geeigneten Patch hat der Herausgeber mit der Version 2.17.0 bereitgestellt, welche nun ebenfalls in die beA Client-Security integriert wurde.

Mit dem Update vom 20.01.2022 wird die Log4J-Bibliothek auf diese neue Version gebracht. Auch ohne Durchführung dieses Updates ist die Sicherheit des beA-Systems gegeben. Sie können die bisherige beA Client-Security Version 3.9.0.7 weiterhin nutzen.

Das Update ist für die weitere beA-Nutzung also nicht zwingend, wird aber von der BRAK empfohlen.

Weitere Informationen finden Sie hier.