München, 13. Dezember 2021 ----Das Bundesamt für Sicherheit in der Informationstechnik hat am 12. Dezember die IT-Bedrohungslage im Zusammenhang mit einer kritischen Schwachstelle in log4j auf die Warnstufe 4/Rot erhöht.
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Das Blog eines Dienstleisters für IT-Sicherheit berichtete über die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Das cplace Team hatte daraufhin umgehend damit begonnen, etwaige Auswirkungen dieser Sicherheitslücke auf cplace zu überprüfen.
Auswirkungen auf cplace
Nach interner Prüfung der uns zur Verfügung stehenden Produkt- und Projekt-Repositories kommen wir zu folgendem Stand:
- cplace verwendet die log4j-Bibliothek nicht im Live-System, obwohl sie enthalten ist. Das umfasst alle cplace Produkte und alle Projekte, deren Quellcode in der GitHub-Organisation der collaboration Factory gehostet wird.
- In cplace Installationen wird ein externer Elasticsearch-Server angesprochen, der von dieser Sicherheitslücke betroffen ist. Elastic empfiehlt, die Konfiguration von Elasticsearch anzupassen und hat in der Zwischenzeit Version 7.16.2 veröffentlicht. Wir empfehlen, dass Sie sich hierfür mit Ihrem Elasticsearch-Team in Verbindung setzen.
- Es ist kein cplace Update notwendig, wenn Sie cplace in der Standardkonfiguration verwenden. Dennoch melden einige Sicherheitsscanner log4j2-* in cplace. Aus diesem Grund haben wir gepatchte cplace Builds für die Versionen 5.12+ bereitgestellt. Wir empfehlen Ihnen, Ihre cplace Installation zu aktualisieren, wenn Ihre internen Sicherheitsprozesse dies erfordern.
- Zusätzlich haben unsere Untersuchungen ergeben, dass die Apache Tika Komponente, die von cplace für die Indizierung von Dokumenten verwendet wird, von zwei Log4j1 Schwachstellen betroffen ist (CVE-2021-4104 und CVE-2019-17571). Auch hier ist cplace in der Standardkonfiguration nicht betroffen. Nichtsdestotrotz werden wir zusätzliche gepatchte cplace Builds für die Versionen 5.9+ bereitstellen und Sie via Discuss über deren Verfügbarkeit informieren. Apache Tika hat noch keine gepatchte Version veröffentlicht.
Weitere Details sowie regelmäßige Updates zu log4j finden Sie unter discuss.cplace.io. Falls Sie noch nicht über einen Discuss-Zugang verfügen, können Sie sich kostenfrei selbst registrieren. In der Kategorie Announcements erhalten Sie am schnellsten wichtige Ankündigungen zu cplace.
[aktualisiert am 22.12.2021]
