Diskussion

Meldung/Log4Shell: Unterschied zwischen den Versionen

(Markierung: 2017-Quelltext-Bearbeitung)
K (Fixed casing)
 

Anlass[Bearbeiten | Quelltext bearbeiten]

Aktuelle log4j Sicherheitslücke.

Derzeitige Berwertung der Schwachstellen in BlueSpice[Bearbeiten | Quelltext bearbeiten]

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Einschätzung der Situation für alle BlueSpice EditionenBewertung[Bearbeiten | Quelltext bearbeiten]

Geprüfte Komponenten in BlueSpiceAktuelle Version[Bearbeiten | Quelltext bearbeiten]

  • ElasticSearch Elasticsearch => ElasticSearch meldet, dass sie nicht betroffen sind: nicht verwundbar
    https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476Kein Code-Red-Alert, aber wir behalten es im Auge. => nicht anfällig
  • Java-Server
    • Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfälligverwundbar
    • Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfälligverwundbar
  • Java Webservices
    • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfälligverwundbar
    • VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht anfälligverwundbar
    • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfälligverwundbar
  • Draw.io meldet, dass die Anwendung nicht betroffen ist:
    https://twitter.com/drawio/status/1470061320066277382 => nicht anfälligverwundbar

Ältere Versionen von BlueSpice 3[Bearbeiten | Quelltext bearbeiten]

  • Elasticsearch => nicht verwundbar
    https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
    • Versionen 6.8.9+ (Release:13. Mai 2020) => nicht verwundbar
    • Version 6.4.0 - 6.8.8: Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.
      => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
      => nur außerhalb von BlueSpice verwundbar
    • Versionen ≤ 6.3.x: Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.
      => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
      => nur außerhalb von BlueSpice verwundbar

Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:

  • Kein direkter Zugriff: BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
  • Keine Protokollierung von Daten: Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
  • Keine Weitergabe von Benutzerdaten: Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.

Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen, ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.

Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.

BlueSpice 2[Bearbeiten | Quelltext bearbeiten]

Geprüfte Komponenten im Docker-Image[Bearbeiten | Quelltext bearbeiten]

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig

BlueSpice Cloud[Bearbeiten | Quelltext bearbeiten]

  • Swarmpit => nicht betroffen
  • Drone => nicht betroffen

Weiterführende Links[Bearbeiten | Quelltext bearbeiten] 

==Anlass==
        
        Aktuelle log4j Sicherheitslücke. 
        
        
        
        *[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 1312.12.2021 (CVE-2021-44228)]
        
        
        
        ==Derzeitige Berwertung der Schwachstellen in BlueSpice==
        
        
        
        *BlueSpice free, pro, farm
        
        **On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen.'''</span>
            
            **Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen.'''</span>
            
            
            
            
        [[#Detaillierte Bewertung|Aktuelle on-Premise Installationen]] => <span class="col-turquoise">'''nicht betroffen'''</span>
            
            **[[#Ältere Versionen von BlueSpice 3|Ältere on-Premise Installationen]] => <span class="col-red">'''Elasticsearch könnte verwundbar sein'''</span>
            
            **[[#Geprüfte Komponenten im Docker-Image|Docker-Version]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
            
            *[[#BlueSpice Cloud|BlueSpice Cloud]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
            
            
            
            
        Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
        
        
        
        ==Detaillierte Einschätzung der Situation für alle BlueSpice Editionen==
            
            ===Geprüfte Komponenten in BlueSpice===
            
            
            
            *'''ElasticSearch''' => ElasticSearch meldet, dass sie nicht betroffen sind: Bewertung==
            
            
            
            ===Aktuelle Version===
            
            
            
            *'''Elasticsearch''' => <span class="col-turquoise">'''nicht verwundbar'''</span><br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
        
        
        <br />Kein Code-Red-Alert, aber wir behalten es im Auge. => <span class="col-turquoise">'''nicht anfällig'''</span>
            
            
        *'''Java-Server'''
        
        **Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        **Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        *'''Java Webservices'''
        
        **xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        **VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        **LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        *'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht anfälligverwundbar'''</span>
        
        
        
        ===Ältere Versionen von BlueSpice 3===
            
            
            
            *'''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span><br /> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
            
            **'''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span>
            
            **'''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span> <span class="col-turquoise ve-pasteProtect">'''(Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>   <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von BlueSpice verwundbar</span>'''
            
            **'''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>    <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von BlueSpice verwundbar</span>'''
            
            
            
            Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:
            
            
            
            *'''Kein direkter Zugriff:''' BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
            
            
            
            *'''Keine Protokollierung von Daten:''' Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
            
            
            
            *'''Keine Weitergabe von Benutzerdaten:''' Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.
            
            
            
            Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen,  ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.
            
            
            
            Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.
            
            
            
            ===BlueSpice 2===
            
            
            
            *Solr benutzt log4j => '''<span class="col-red ve-pasteProtect">verwundbar</span>''' <br /><br />Informationen zur Schadensabwendung finden Sie hier: <br /> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
            
            
            
            ===Geprüfte Komponenten im Docker-Image===
        
        Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span><br />
        
        
        
        *https://security-tracker.debian.org/tracker/CVE-2021-44228
            
            
            
            ===BlueSpice Cloud===
            
            
            
            *Swarmpit => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
            
            *Drone => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
            
            
            
            ==Weiterführende Links==
            
            
            
            *https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html
            
            *https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
            
            *https://www.suse.com/c/suse-statement-on-log4j-log4shell-cve-2021-44228-vulnerability/
            
            
            
            
            
            [[en:Announcement/Log4Shell]]
            
            [[de:{{FULLPAGENAME}}]]
(23 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
 
Aktuelle log4j Sicherheitslücke.  
 
Aktuelle log4j Sicherheitslücke.  
  
*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 13.12.2021 (CVE-2021-44228)]
+
*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
  
==Derzeitige Berwertung der Schwachstellen in BlueSpice==
+
==Berwertung der Schwachstellen in BlueSpice==
  
 
*BlueSpice free, pro, farm
 
*BlueSpice free, pro, farm
**On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen.'''</span>
+
**[[#Detaillierte Bewertung|Aktuelle on-Premise Installationen]] => <span class="col-turquoise">'''nicht betroffen'''</span>
**Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen.'''</span>
+
**[[#Ältere Versionen von BlueSpice 3|Ältere on-Premise Installationen]] => <span class="col-red">'''Elasticsearch könnte verwundbar sein'''</span>
 +
**[[#Geprüfte Komponenten im Docker-Image|Docker-Version]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
 +
*[[#BlueSpice Cloud|BlueSpice Cloud]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
  
 
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
 
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
  
==Detaillierte Einschätzung der Situation für alle BlueSpice Editionen==
+
==Detaillierte Bewertung==
===Geprüfte Komponenten in BlueSpice===
 
  
*'''ElasticSearch''' => ElasticSearch meldet, dass sie nicht betroffen sind: <br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 <br />Kein Code-Red-Alert, aber wir behalten es im Auge. => <span class="col-turquoise">'''nicht anfällig'''</span>
+
===Aktuelle Version===
 +
 
 +
*'''Elasticsearch''' => <span class="col-turquoise">'''nicht verwundbar'''</span><br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
 
*'''Java-Server'''
 
*'''Java-Server'''
**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
 
*'''Java Webservices'''
 
*'''Java Webservices'''
**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
 +
 
 +
===Ältere Versionen von BlueSpice 3===
 +
 
 +
*'''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span><br /> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
 +
**'''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span>
 +
**'''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span> <span class="col-turquoise ve-pasteProtect">'''(Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>  <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von BlueSpice verwundbar</span>'''
 +
**'''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>    <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von BlueSpice verwundbar</span>'''
 +
 
 +
Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:
 +
 
 +
*'''Kein direkter Zugriff:''' BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
 +
 
 +
*'''Keine Protokollierung von Daten:''' Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
 +
 
 +
*'''Keine Weitergabe von Benutzerdaten:''' Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.
 +
 
 +
Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen,  ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.
 +
 
 +
Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.
 +
 
 +
===BlueSpice 2===
 +
 
 +
*Solr benutzt log4j => '''<span class="col-red ve-pasteProtect">verwundbar</span>''' <br /><br />Informationen zur Schadensabwendung finden Sie hier: <br /> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
  
 
===Geprüfte Komponenten im Docker-Image===
 
===Geprüfte Komponenten im Docker-Image===
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
+
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span><br />
  
 
*https://security-tracker.debian.org/tracker/CVE-2021-44228
 
*https://security-tracker.debian.org/tracker/CVE-2021-44228
 +
 +
===BlueSpice Cloud===
 +
 +
*Swarmpit => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
 +
*Drone => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
 +
 +
==Weiterführende Links==
 +
 +
*https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html
 +
*https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
 +
*https://www.suse.com/c/suse-statement-on-log4j-log4shell-cve-2021-44228-vulnerability/
 +
 +
 +
[[en:Announcement/Log4Shell]]
 +
[[de:{{FULLPAGENAME}}]]
Abgerufen von „https://bs3-de.wiki.bluespice.com/w/index.php?title=Meldung/Log4Shell&oldid=31925

Anhänge

Diskussionen