Deutschsprachiger HubSpot Nutzer Blog

HubSpot User sind vom Log4j2 nicht betroffen

HubSpot User sind vom log4j2 nicht betroffen

Log4j2 ist ein Open-Source-Java-basiertes Protokollierungstool. Es wird von der Apache Software Foundation gepflegt, von vielen Diensten verwendet und weist aktuell Sicherheitsprobleme auf. Die gute Nachricht ist: HubSpot-Produkte und kundenorientierte Tools verwenden Log4j2 nicht als Tool und sind nicht anfällig für die bisher entdeckten Sicherheitslücken.

Zum jetzigen Zeitpunkt müssen HubSpot-Kunden keine Maßnahmen in Bezug auf die Nutzung der HubSpot-Software ergreifen. Denn eine gründliche Untersuchung zeigt:

Es wurden keine HubSpot-Produkte oder kundenseitige Tools gefunden, die Log4j2 verwenden

Seit HubSpot von der Schwachstelle erfahren hat, wurden mehrere Maßnahmen unternommen, um mögliche Risiken in HubSpot Produkten zu identifizieren und zu minimieren.

Es wurden implementiert:

  • Vollständige Scans aller Produktionsdienste, um sicherzustellen, dass sie nicht von der Log4j2-Bibliothek abhängig sind. HubSpot-Produkte verwenden eine andere Protokollierungs-Bibliothek. Sie sind nicht auf Log4j2 angewiesen.
  • Präzise Vorkehrungen, um die Verwendung der anfälligen Version von Log4j2 in zukünftigen Systemen zu verhindern.
  • Aktualisierte Web Application Firewall-Regeln, um Ausbeutungsversuche zu verhindern.

Darüber hinaus werden alle HubSpot-Systeme weiterhin regelmäßig auf Sicherheitslücken überprüft. 

Auch die Subprozessoren werden überwacht

HubSpot hat Details von allen Unterprozessoren des HubSpot-Produkts zu potenziellen Schwachstellen angefordert und überwacht deren Antworten.

Die wichtigsten Subprozessoren von HubSpot, darunter

  • Amazon Web Services,
  • Google Cloud,
  • Cloudflare und
  • Snowflake,

waren entweder nicht anfällig oder haben bereits damit begonnen, die Sicherheitslücke in ihren Netzwerken zu schließen.

Systematisch werden alle internen Systeme von HubSpot Corporate überprüft: 

Sobald sich ein System als anfällig erweist, versieht HubSpot die Instanz unverzüglich mit einem Patch bzw. ergreift wirksame Abhilfemaßnahmen. 

Damit Sie sich weiterhin sicher fühlen

HubSpot Corporate Security wird die Situation weiter beobachten und wir von LANGEundPFLANZ werden Sie auf dem Laufenden halten und mit Informationen in unserem HubSpot User Blog versorgen.

Auch finden Sie beim Team Datenschutz der TU Berlin oder direkt auf den Seiten des Bundesamtes für Sicherheit und Informationstechnik (BSI) nützliche, aktuelle Informationen.

 

Themen: HubSpot