Diskussion

Meldung/Log4Shell: Unterschied zwischen den Versionen

Anlass[Bearbeiten | Quelltext bearbeiten]

Aktuelle log4j Sicherheitslücke.

Derzeitige Berwertung der Schwachstellen in BlueSpice[Bearbeiten | Quelltext bearbeiten]

  • BlueSpice free, pro, farm
    • On-Premise Installationen sind nicht betroffen.
    • Die Docker-Version ist nicht betroffen.
  • BlueSpice cloud Cloud ist nicht betroffen.

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Einschätzung der Situation für alle BlueSpice Editionen[Bearbeiten | Quelltext bearbeiten]

Geprüfte Komponenten in BlueSpice[Bearbeiten | Quelltext bearbeiten]

  • ElasticSearch => ElasticSearch meldet, dass sie nicht betroffen sind:
    https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
    Kein Code-Red-Alert, aber wir behalten es im Auge. => nicht anfällig
  • Java-Server
    • Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
    • Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
  • Java Webservices
    • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfällig
    • VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht anfällig
    • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfällig
  • Draw.io meldet, dass die Anwendung nicht betroffen ist:
    https://twitter.com/drawio/status/1470061320066277382 => nicht anfällig

Geprüfte Komponenten im Docker-Image[Bearbeiten | Quelltext bearbeiten]

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig 

==Anlass==
        
        Aktuelle log4j Sicherheitslücke. 
        
        
        
        *[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
        
        
        
        ==Derzeitige Berwertung der Schwachstellen in BlueSpice==
        
        
        
        *BlueSpice free, pro, farm
        
        **On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen'''</span>.
        
        **Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen'''</span>.
        
        *BlueSpice cloudCloud ist <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>.
        
        
        
        Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
        
        
        
        ==Detaillierte Einschätzung der Situation für alle BlueSpice Editionen==
        
        ===Geprüfte Komponenten in BlueSpice===
        
        
        
        *'''ElasticSearch''' => ElasticSearch meldet, dass sie nicht betroffen sind: <br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 <br />Kein Code-Red-Alert, aber wir behalten es im Auge. => <span class="col-turquoise">'''nicht anfällig'''</span>
        
        *'''Java-Server'''
        
        **Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        **Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        *'''Java Webservices'''
        
        **xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        **VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        **LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        *'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        
        
        ===Geprüfte Komponenten im Docker-Image===
        
        Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
        
        
        
        *https://security-tracker.debian.org/tracker/CVE-2021-44228
Zeile 9: Zeile 9:
 
**On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen'''</span>.
 
**On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen'''</span>.
 
**Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen'''</span>.
 
**Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen'''</span>.
*BlueSpice cloud ist <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>.
+
*BlueSpice Cloud ist <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>.
  
 
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
 
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
Abgerufen von „https://bs3-de.wiki.bluespice.com/w/index.php?title=Meldung/Log4Shell&oldid=31753

Anhänge

Diskussionen