Ważne informacje dla naszych klientów

Szanowni klienci,

Z prasy codziennej dowiedzieliście się Państwo zapewne, że Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) ogłasza obecnie nowy poziom ostrzegawczy.
Dear customers,Według BSI, krytyczna luka (Log4Shell) w szeroko stosowanej bibliotece Java Log4j prowadzi do ekstremalnie krytycznej sytuacji zagrożenia. W związku z tym BSI podniosło swój dotychczasowy poziom ostrzeżenia o cyberbezpieczeństwie do poziomu czerwonego. Powodem tej oceny jest bardzo szerokie zastosowanie dotkniętego produktu i związany z tym wpływ na niezliczone inne produkty.

Przede wszystkim należy zauważyć, że Grupa ZEISS traktuje takie ostrzeżenia bardzo poważnie, a bezpieczeństwo naszych produktów ma najwyższy możliwy priorytet.

Chcielibyśmy jednak pomóc Państwu w odniesieniu do ostrzeżenia BSI i w przejrzysty sposób rozwiać Państwa zrozumiałe obawy.

Co możemy w tej chwili powiedzieć o naszych produktach?

Badania, w zakresie, w jakim produkty ZEISS są dotknięte podstawowymi obawami BSI, o których mowa, są stale prowadzone w ZEISS, niezależnie od doniesień prasy codziennej, tak aby zawsze były aktualne.
Obecne aplikacje ZEISS IQS w szczególności nie są tworzone w oparciu o Javę i dlatego nie zawierają żadnych komponentów, które są objęte aktualnym ostrzeżeniem dotyczącym bezpieczeństwa wydanym przez BSI.
Oczywiście, będziemy Państwa informować jak zwykle w ramach naszych bieżących analiz bezpieczeństwa.
Jeśli sami zauważycie Państwo problemy z bezpieczeństwem, prosimy o jak najszybsze poinformowanie nas o tym.
W przypadku wymienionych poniżej produktów (nie wyczerpująco) możemy po analizie, na podstawie opinii BSI na temat zagrożenia dla (CVE-2021-44228), wykluczyć istnienie ryzyka w tym zakresie. Powodem tego jest fakt, że w produktach tych nie jest zaimplementowany "Log4J".

You have probably heard from the daily press that the Federal Office for Information Security (BSI) is currently issuing a new warning level.
According to the BSI, the critical vulnerability (Log4Shell) in the widely used Java library Log4j leads to an extremely critical threat situation. The BSI has therefore upgraded its existing cyber security warning to warning level red. The reason for this assessment is the very widespread use of the affected product and the associated effects on countless other products.

First of all, it is important to note that the ZEISS Group takes such warnings very seriously and that the safety of our products has the highest possible priority.

However, we would like to assist you with regard to the warning from the BSI and transparently take away your understandable concerns.

What can we say about our products at the moment:

  • The investigations, into the extent to which ZEISS products are affected by the fundamental concerns of the BSI in question, are constantly carried out at ZEISS, regardless of reports from the daily press, so that it is always up to date.
  • The present ZEISS IQS applications in particular are not developed on the basis of Java and therefore do not contain any components that are subject to the current security warning issued by the BSI.
  • Of course, we will keep you informed as usual as part of our ongoing security analyzes.
  • Should you find out about any security problems yourself, we ask you to inform us about this as soon as possible.

For the products listed below (not exhaustive), we can, after analysis, based on the BSI's opinion on the threat to (CVE-2021-44228), exclude the possibility that there is a risk in this regard. The reason for this is that no “Log4J” is implemented in the products.

Zgodnie z posiadaną przez nas wiedzą, nie ma zagrożenia dla aktualnych wersji i zawartych w nich komponentów firm trzecich w związku z ostrzeżeniem bezpieczeństwa wydanym przez BSI.

Analizowane produkty są następujące:

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

Oprogramowanie sprzętowe C99 stosowane w maszynach pomiarowych nie korzysta z biblioteki Log4j. Wszystkie maszyny pomiarowe, w których używane jest oprogramowanie firmowe, nie są zatem dotknięte luką w zabezpieczeniach.

Lista ta nie jest wyczerpująca i w razie potrzeby zostanie rozszerzona po przeprowadzeniu odpowiedniej analizy dotyczącej bezpieczeństwa.

Niniejsze ogłoszenie jest oparte na stanie z dnia 12 stycznia 2022 r. godz. 12:00.

Chętnie odpowiemy na Twoje pytania z naszym zespołem wsparcia produktu (info .metrology .pl @zeiss .com) i naszym działem bezpieczeństwa.