|
Sehr geehrte Damen und Herren,
in unserem Newsletter informieren wir Sie regelmäßig über häufig gestellte Fragen zu unseren Produkten. Lesen Sie heute den neuesten Eintrag über folgende FAQ.
|
| Sicherheitslücke log4shell |
 |
|
 |
|
|
|
Produkt: CAS genesisWorld - Version: ab Version x11.1.0.11752 bis Version x13.1.5.13150
Bereich: Allgemeine Funktionen
In der weit verbreiteten Java-Bibliothek Log4j führt die kritische Schwachstelle Log4Shell (CVE-2021-44228) nach Einschätzung des Bundesamts
für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage.
Ist CAS genesisWorld und seine verwendeten Komponenten von der Sicherheitslücke betroffen?
Wir haben CAS genesisWorld auf die Nutzung der log4j-Bibliothek geprüft.
Unsere Analyse hat ergeben, dass die kritische Bibliothek log4j-core im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch zum Einsatz kommt.
Alle anderen java-basierten Komponenten und Dienste in CAS genesisWorld verwenden Log4j nach derzeitigem Kenntnisstand nicht bzw. lediglich die Schnittstellen-Bibliothek log4j-api, welche nicht von der Sicherheitslücke betroffen ist.
Zur kurzfristigen Behebung stehen Ihnen alternativ folgende Lösungsansätze zur Verfügung:
(1) Sie können im Server Manager von CAS genesisWorld den Dienst ElasticSearch deaktivieren. Damit steht dann in Konsequenz die SmartSearch nicht mehr zur Verfügung.
oder
(2) Navigieren Sie zu der Datei
"C:\Program Files (x86)\Common Files\CAS-Software\Server\JavaServices\elasticsearch\elasticsearch.xml".
Öffnen Sie die Datei und navigieren Sie zum Eintrag
"<executable>%JAVASERVICES_HOME%\jdk-11.xxxxxx\bin\java.exe</executable>".
Fügen Sie direkt nach diesem Eintrag folgende Zeile hinzu:
<argument>-Dlog4j2.formatMsgNoLookups=true</argument>
Speichern Sie die Datei und starten Sie den Dienst ElasticSearch über den CAS Server Manager neu.
Da ein manuelles Ändern der Konfigurationsdatei durch das Einspielen eines Software-Updates überschrieben würde, empfehlen wir die u.g. Software-Updates zeitnah einzuspielen.
oder
(3) Entsprechend der Empfehlung des BSI (siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3) können Sie alternativ auch die Windows-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true setzen. Auch hier müssen Sie den Dienst ElasticSearch im CAS Server Manager neu starten.
Die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld werden die potenzielle Ausnutzung dieser Sicherheitslücke verhindern.
Update 14.12.2021:
------------------------
Der Hersteller Elastic beschreibt die Sicherheitslücke von ElasticSearch in einem Artikel.
Siehe hierzu https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476.
CAS genesisWorld x11 bis x13 verwenden ElasticSearch in der Version 6.5.4. Der Dienst ElasticSearch läuft dabei in einer Java Runtime der Version 11.03 oder höher. log4j innerhalb von ElasticSearch hat die Version 2.11.1.
Die Version x10 von genesisWorld verwendet ElasticSearch in der Version 6.2.3. Der Dienst ElasticSearch läuft dabei in einer Java Runtime der Version 8. log4j innerhalb von ElasticSearch hat die Version 2.9.1.
--> In der Version x10 kann der nach unserer Auffassung der oben beschriebene Lösungsansatz (3) NICHT angewendet werden.
Die Versionen x6 bis x9 setzen ElasticSearch in einer früheren Versionen ein, die noch log4j in einer Version 1.x verwenden. Die in CVE-2021-44228 beschriebene Sicherheitslücke sollte hier nicht bestehen.
Alle genesisWorld Versionen x5 oder kleiner enthalten die ElasticSearch nicht.
Unabhängig davon empfehlen wir allen Kunden ein Update auf eine supportete genesisWorld-Version.
Update 15.12.2021:
------------------------
Der Dienst ElasticSearch ist in der Standardauslieferung von CAS genesisWorld so konfiguriert, dass er nur direkt auf dem Applikationsserver angesprochen werden kann. Die beiden Ports (im Standard 9200 und 9300) sind dabei nicht für Zugriffe von anderen Rechner freigegeben. Die Ansprache der ElasticSearch erfolgt ausschließlich über die genesisWorld Webservices.
Die Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 werden innerhalb der ElasticSearch-Dienstes eine Aktualisierung auf log4j 2.16.0 enthalten. Damit sollte auch eine Behebung für CVE-2021-45046 (siehe https://nvd.nist.gov/vuln/detail/CVE-2021-45046) erfolgen.
Update 17.12.2021:
------------------------
Die Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 sind veröffentlich und stehen zum Download zur Verfügung.
Update 20.12.2021:
—————————--
Für log4j ist zwischenzeitlich eine weitere Schwachstelle bekannt geworden:
https://nvd.nist.gov/vuln/detail/CVE-2021-45105
Diese führt aber bei der in CAS genesisWorld enthaltenen ElasticSearch-Komponente laut dem Hersteller der Komponente zu keinen unerwünschten Verhaltensweisen:
https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Dennoch streben wir für die nächsten regulären Software-Updates nochmals Aktualisierungen der betroffenen Komponenten an.
Update 09.02.2022:
-------------------------
Für die Software-Updates x11.3.0.11968, x12.2.6.12161 und 13.1.6.13161 haben wir die ElasticSearch-Komponente noch einmal aktualisiert. Es ist nun log4j in der Version 2.17.0 enthalten.
|
|
|
|
| |
