Infos zur log4j-Sicherheitslücke in unseren Produkten

Seit Ende letzter Woche macht eine schwere Sicherheitslücke in der beliebten Java-Logging-Bibliothek log4j die Runde. Inzwischen hat das BSI „Alarmstufe Rot“ ausgerufen, da Systeme über einfache Aufrufe direkt angreifbar sind.

Wir sind derzeit dabei, uns einen Überblick zu verschaffen, welche von uns angebotenen Produkte und Systeme betroffen sind und welche Gegenmaßnahmen ergriffen werden müssen. Dieser Beitrag wird entsprechend aktualisiert. Dies soll aber keinen Admin davon abhalten, selbständig zu recherchieren und entsprechend zu reagieren. Einstiegspunkte zur Recherche finden sich im o.g. BSI-Paper, sowie hier und hier auf GitHub.

Betroffene Produkte

Als Soforthilfe empfiehlt es sich, aus dem Internet erreichbare Dienste herunterzufahren bzw. den externen Zugriff zu unterbinden. Für weitere Unterstützung erstellen Sie bitte ein Ticket mit Hinweis auf die log4j-Thematik. Wir sammeln diese und bearbeiten sie mit erhöhter Dringlichkeit.

Zum aktuellen Stand nicht betroffene Produkte

 

Details und Updates

ELO hat inzwischen Updates für den Java Client sowie Server-Setups in den supporteten Releases bereitgestellt:

  • Server 21.01.000.4, 20.03.000.1, 12.04.000, 11.01.004.3
  • Java Client 21.01.002, 20.07.003, 12.11.001.268, 11.13.002.173, 10.17.001

Anmerkung: Der Java Client scheint nur bei aktivem HTTP Automation Interface und nur vom lokalen Rechner aus angreifbar zu sein. Wenn dort aber schon Schadcode läuft, wäre das im Prinzip für einen Angreifer unnötig.

HCL Domino: inzwischen hat sich herausgestellt, dass das (optionale) AppDevPack in Versionen vor 1.0.11 betroffen ist. Update auf 1.0.11 ist empfohlen. Nach unserer Kenntnis ist das bei keinem unserer Kunden und bei keiner unserer Anwendungen im Einsatz. Wer hier unsicher ist, kann überprüfen, ob die hier erwähnten Dateien (z.B. die adpconfig.ntf oder die proton/proton.exe) vorhanden sind.

 

Update 20.12.

Inzwischen gibt es eine dritte Version 2.17 der log4j-Bibliothek, die eine weitere entdeckte Lücke CVE-2021-45105 behebt, die auch bereits aktiv ausgenutzt wird. Evtl. wird also ein erneutes Patchen betroffener Systeme nötig. Wir werden die obige Liste aktualisieren, sobald wir Informationen darüber haben, ob Anwendungen mit dieser Version aktualisiert wurden. ELO teilt mit, dass die für die Anfälligkeit notwendige Konfiguration nicht im Einsatz ist, beobachtet die Situation aber weiterhin.

Eine Übersicht über alle aktuell bekannten Issues gibt es hier: https://www.bleepingcomputer.com/news/security/all-log4j-logback-bugs-we-know-so-far-and-why-you-must-ditch-215/

Updates 21.12.2021

Fix für Spectrum Protect Operations Center verfügbar

Oliver Regelmann


Weitere Beiträge:

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>