Seit Ende letzter Woche macht eine schwere Sicherheitslücke in der beliebten Java-Logging-Bibliothek log4j die Runde. Inzwischen hat das BSI „Alarmstufe Rot“ ausgerufen, da Systeme über einfache Aufrufe direkt angreifbar sind.
Wir sind derzeit dabei, uns einen Überblick zu verschaffen, welche von uns angebotenen Produkte und Systeme betroffen sind und welche Gegenmaßnahmen ergriffen werden müssen. Dieser Beitrag wird entsprechend aktualisiert. Dies soll aber keinen Admin davon abhalten, selbständig zu recherchieren und entsprechend zu reagieren. Einstiegspunkte zur Recherche finden sich im o.g. BSI-Paper, sowie hier und hier auf GitHub.
Betroffene Produkte
- ELO: div. Anwendungsbestandteile betroffen, u.A. Elastic Search und der Java Client. Updates stehen zur Verfügung, s.u.
- HCL BigFix (evtl. in alten Installationen von IBM ILMT enthalten)
- HCL Connections: 6.0 und 6.5 betroffen, neuer Fix KB002160 mit 2.16.0 verfügbar.
- HCL Notes und Domino, Traveler, Verse: nur das optionale AppDev Pack betroffen, Update auf 1.0.11 empfohlen, s.u.
- HCL Sametime Proxy 9 und 10: WebSphere unter dem Sametime Proxy evtl. betroffen. WAS fixen oder Update auf Sametime 11
- IBM Content Collector, Update auf 4.0.1.13
- IBM Spectrum Protect Operations Center: Update verfügbar
- IBM WebSphere 8.5 und 9.0 (HCL Connections, Sametime Proxy vor 11). Neuer Fix PH42762 verfügbar.
- Ontime Gruppenkalender für Microsoft: Update auf Version 5.0.3 oder höher empfohlen
- VMware vCenter Server u.a., „Patch Pending“ für vCenter
- Sophos EAS Proxy – Update auf 9.7.4 empfohlen
Als Soforthilfe empfiehlt es sich, aus dem Internet erreichbare Dienste herunterzufahren bzw. den externen Zugriff zu unterbinden. Für weitere Unterstützung erstellen Sie bitte ein Ticket mit Hinweis auf die log4j-Thematik. Wir sammeln diese und bearbeiten sie mit erhöhter Dringlichkeit.
Zum aktuellen Stand nicht betroffene Produkte
- n-komm: Alle Anwendungen und Erweiterungen
- HCL Sametime Proxy ab Version 11
- IBM Content Manager
- Microsoft-Produkte
- Ontime Gruppenkalender für Domino
- Veeam
- Synology
Details und Updates
ELO hat inzwischen Updates für den Java Client sowie Server-Setups in den supporteten Releases bereitgestellt:
- Server 21.01.000.4, 20.03.000.1, 12.04.000, 11.01.004.3
- Java Client 21.01.002, 20.07.003, 12.11.001.268, 11.13.002.173, 10.17.001
Anmerkung: Der Java Client scheint nur bei aktivem HTTP Automation Interface und nur vom lokalen Rechner aus angreifbar zu sein. Wenn dort aber schon Schadcode läuft, wäre das im Prinzip für einen Angreifer unnötig.
HCL Domino: inzwischen hat sich herausgestellt, dass das (optionale) AppDevPack in Versionen vor 1.0.11 betroffen ist. Update auf 1.0.11 ist empfohlen. Nach unserer Kenntnis ist das bei keinem unserer Kunden und bei keiner unserer Anwendungen im Einsatz. Wer hier unsicher ist, kann überprüfen, ob die hier erwähnten Dateien (z.B. die adpconfig.ntf oder die proton/proton.exe) vorhanden sind.
Update 20.12.
Inzwischen gibt es eine dritte Version 2.17 der log4j-Bibliothek, die eine weitere entdeckte Lücke CVE-2021-45105 behebt, die auch bereits aktiv ausgenutzt wird. Evtl. wird also ein erneutes Patchen betroffener Systeme nötig. Wir werden die obige Liste aktualisieren, sobald wir Informationen darüber haben, ob Anwendungen mit dieser Version aktualisiert wurden. ELO teilt mit, dass die für die Anfälligkeit notwendige Konfiguration nicht im Einsatz ist, beobachtet die Situation aber weiterhin.
Eine Übersicht über alle aktuell bekannten Issues gibt es hier: https://www.bleepingcomputer.com/news/security/all-log4j-logback-bugs-we-know-so-far-and-why-you-must-ditch-215/
Updates 21.12.2021
Fix für Spectrum Protect Operations Center verfügbar