Kritische Sicherheitslücke in der Java-Bibliothek log4j. - ELO-Anwender

Wichtige Information für ELO-Anwender

Handlungsempfehlungen - CVE-2021-44228 – Log4j 2 Vulnerability – ELO Digital

Log4j gilt als eines der weitverbreitetsten Logging-Frameworks für Java. In den Versionen 2.0-beta9 bis einschließlich 2.14.1 ist es möglich Remote-Code über JNDI-Lookups auszuführen, falls eine bestimmte Zeichenkette geloggt wird. Ein Angreifer kann dabei Code über einen entfernten Rechner, welcher im Rahmen des Loggings angefragt wird, an das betroffene System zurückgeben und somit ausführen. Akut betroffen sind laut CVE Java Versionen vor Java 8u121. Ab dieser Version ist eine Remote Code Execution (trustURLCodebase) standardmäßig deaktiviert.

ELO Versionen 21, 20, 12, 11 sowie neuere Serversetups von ELO 10 als auch die neueren Java Clients von ELO 11 und ELO 10 setzen aktuelle Java Versionen ein, bei denen eine Remote Code Execution deaktiviert ist.

Die meisten ELO Module, bspw. ELO Indexserver, ELO WF oder der ELO Web Client setzen keine log4j2-Versionen ein und sind unabhängig der eingesetzten Java Version nicht betroffen.

Aktuell verwenden die von uns eingesetzten ElasticSearch-Versionen sowie ELO Java Clients ab Version 10 log4j2. Wir gehen davon aus, ungeachtet dessen, ob eine neue Java Version das Ausführen fremden Codes verhindert, dass die Schwachstelle nur von authentifizierten ELO-Benutzern im System ausgenutzt werden könnte.

Somit ist unserer Einschätzung nach zum gegenwärtigen Zeitpunkt, auf Basis des bisherigen Kenntnisstandes, ein korrekt konfiguriertes und gesichertes ELO System, welches in der Cloud oder einer DMZ steht, von externen Dritten über die Schwachstelle in log4j2 nicht angreifbar, da öffentliche APIs (bspw. im Index Server) u.a. hiervon nicht betroffen sind.

Aufgrund der dynamischen Entwicklung werden nachfolgend Module mit aktuellen Java Versionen getrennt gelistet, sodass eine bessere Risikoabwägung stattfinden kann. Da es nicht auszuschließen ist, dass in Zukunft weitere Schwachstellen durch den Einsatz von JNDI im Rahmen von log4j2 auftauchen, empfehlen wir generell durch einige Maßnahmen die Lücke in allen Modulen zu schließen welche log4j2 einsetzen.

Wir haben hierzu eine Liste mit akuten Handlungsempfehlungen sowie Handlungsempfehlungen zusammengestellt. Kommende ELO Versionen werden generell ein Update verwendeter log4j2-Bibliotheken auf Version 2.15.0, bzw. 2.16.0 oder ein Schließen der Lücke beinhalten. (Siehe auch CVE-2021-44228, https://nvd.nist.gov/vuln/detail/CVE-2021-44228)

Weiterführende Hinweise:

Akute Handlungsempfehlungen

Folgende Komponenten sind von CVE-2021-44228 betroffen, setzen eine ältere Java Version ein (welche eine Remote Code Execution zulässt) und sollten umgehend aktualisiert werden:

  • Java Clients <=10.10 oder <=11.05 sollten schnellstmöglich auf die aktuell neusten Versionen aktualisiert werden und durch den bereitgestellten Registry-Key gepatched werden.
  • ELO ElasticSearch-Installationen (Serversetup 10.00) Es ist ein Austausch der log4j2-Bibliothek auf 2.15.0 in der ElasticSearch erforderlich.
  • ELO BLP 5.2 Setzen eines Konfigurationsparameters notwendig.

 

Wir empfehlen darüber hinaus die von uns bereitgestellten Indexserver Versionen einzuspielen, welche, unabhängig des CVE-2021-44228, einige aktuelle Sicherheitsupdates zum Schutz der ELO Systeme enthalten.

  • ELO IX 11.05.003
  • ELO IX 12.07.005
  • ELO IX 20.05.000
  • ELO IX 21.01.001


Handlungsempfehlungen
Folgende Module setzen log4j2 mit aktuellen Java Versionen ein oder besitzen Abhängigkeiten zu betroffenen Bibliotheken. Wir empfehlen die entsprechende Lücke durch Konfigurationseinstellungen oder Austauschen von aktuellen log4j2-Versionen endgültig zu schließen. Dies betrifft u.a. folgende Module

  • Java Client Die Lücke kann bequem über eine Registry-Key geschlossen werden, welcher per AD-Policy an alle Rechner verteilt werden kann.
  • ElasticSearch Updaten der log4j-Bibliothek auf Version 2.15.0
  • Flows Konfigurationseinstellung für den Flows-Worker (Karaf)

Einschätzung und Analyse von ELO Diensten und Applikationen

Allgemeine ELO Dienste
Grundlegend sind die ELO Kern-Dienste von der Schwachstelle nicht betroffen, da log4j 2.x in den zentralen Diensten, welche u.a. eine öffentliche API zur Verfügung stellen, keine Anwendung findet. Dies betrifft u.a.:

  • ELO Indexserver
  • ELO Web Client
  • ELO WF
  • ELO Admin Console
  • ELO Automation Services
  • ELO Fulltext und Textreader
  • ELO Teamroom
  • ELO Replikation
  • ELO Importer
  •  

Einige ELO Dienste enthalten eine log4j2 API-Bibliothek und sind als unkritisch einzustufen. Betroffen ist nur die eigentliche Implementierung des Logging-Frameworks aus der log4j2-Core-Bibliothek welche in den folgenden Diensten nicht enthalten ist.

  • ELO IMO
  • ELO Rest
  • ELO Smart Input

ELO Java Client

Der Java Client verwendet für das Logging ab ELO 10 Log4j2. Kunden die noch Java Clients kleiner gleich 11.05 oder 10.10 einsetzen sollten auf die aktuellen Versionen upgraden und den bereitgestellten Registry Patch einspielen.
Akut betroffene Versionen sind u.a.

  • Java Client bis einschließlich 11.05, enthält ein Java 8u172
  • Java Client bis einschließlich 10.10, enthält ein Java 8u172
  •  

Einsatz von log4j2 mit neuer Java Version in

  • Java Client >=21.0: Mindestens Java 15
  • Java Client >=20.0: Mindestens Java 14
  • Java Client >=12.0: Mindestens Java 11.0.2
  • Java Client >=11.06: Mindestens Java 8u202 Java Client 11.13: Java 8u222b10 (Zulu 8.40.0.25)
  • Java Client >=10.11: Mindestens Java 8u202
  •  

Nach CVE-2021-44228 sind bereits Java Versionen ab Java 1u121 nicht mehr betroffen.

Nicht betroffen, kein Einsatz von log4j2

  • Java Client 9

Search

ElasticSearch setzt standardmäßig log4j2 für das Logging ein und stellt somit ein potentielles Risko dar. Uns war es bisher nicht möglich die Schwachstelle über gezielte Angriffe, bspw. die ELO Suche oder direkte Authentifizierung über SearchGuard zu nutzen. Es werden bspw. keine Queries protokolliert, sodass Sucheingaben im Client nicht im Log ausgegeben werden. Ab Server Setup Version 10.01 wird ElasticSearch mit einer Java Version größer 8u121 betrieben.

Wir empfehlen die log4j2-Bibliotheken durch Version 2.15.0 auszutauschen.

Akut betroffene Versionen sind u.a.

  • ElasticSearch Installationen durch das Serversetup ELO 10.00


Einsatz von log4j2 mit neuer Java Version in

  • ElasticSearch Installationen in ELO >=21.00: Mindestens Java 15
  • ElasticSearch Installationen in ELO >=20.00: Mindestens Java 14
  • ElasticSearch Installationen in ELO >=12.00: Mindestens Java 11.0.1
  • ElasticSearch Installationen in ELO >=11.00: Mindestens Java 8u121
  • ElasticSearch Installationen in ELO >=10.01: Mindestens Java 8u121

ELO Flows

ELO Flows Worker Instanzen basieren auf Apache Karaf wo standardmäßig log4j2 als Logging-Framework eingesetzt wird. Um eine Einheitlichkeit der Logging-Konzepte auf der Serverseite zu gewährleisten haben wir eine Umstellung der von ELO bereitgestellten Karaf-Installationen auf Logback vorgenommen. Log-Ausgaben der Flows-Komponenten oder des Flows-Workers werden somit nicht über log4j2 sondern Logback ausgegeben. Ab ELO 21 wird zudem mindestens Java 15 ausgeliefert. Wir schätzen das Risiko hier daher als gering ein.

Die Log4j2-Bibliotheken sind dennoch nach wie vor Bestandteil von Apache Karaf und können nicht ohne weiteres entfernt werden. Um sicher zu gehen, empfehlen wir eine Konfigurationseinstellung zu setzen.

ELO Business Solutions

Die Business Solutions sowie das ELO Job Portal von ELO HR Recruiting sind hiervon nicht betroffen da log4j2 nicht zum Einsatz kommt.

ELO BLP

Betroffen ist der ELO BLP >=5.2 durch den Einsatz von Apache Solr. Frühere Versionen des BLP sind nicht betroffen.

Da Angriffsmöglichkeiten zum gegenwärtigen Zeitpunkt nicht ausgeschlossen werden können, empfehlen wir dringend Konfigurationseinstellungen zu setzen, um die Lücke zu schließen.

Apache Solr in Version 8.11.1 steht noch nicht zur Verfügung.
https://solr.apache.org/downloads.html

Für Microsoft-Anwender gibt es hier eine eigene Information auf unserer Webseite.

Weitere Handlungsempfehlungen haben wir für Sie im PDF-Dokument "Weitere Handlungsempfehlungen für ELO-Anwender" zusammengefasst.