Log4Shell

Anlass

Aktuelle Log4Shell Sicherheitslücke.

• BSI Meldung vom 13.12.2021

Derzeitige Berwertung der Schwachstellen in BlueSpice

• BlueSpice free, pro, farm
  • On-Premise ("Barebone") Installationen sind nicht betroffen.
  • Die Docker-Version ist nicht betroffen.

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Einschätzung der Situation für alle BlueSpice Editionen

Erste Einschätzung: BlueSpice verwendet zwar einen Logger in den Webservices, aber wir implementieren nur gegen generische java.util.logging.* Schnittstellen. Die eigentliche Implementierung wird von der Umgebung (=Tomcat Server) bereitgestellt. Ein Update der Umgebung sollte daher ausreichen. Bitte beachten Sie, dass die Tomcat Versionen 8.5 und 9 weiterhin unterstützt werden. Es sollte also keine Notwendigkeit für ein Upgrade bestehen.

Elastic Search: Auch ElasticSearch meldet, dass sie nicht betroffen sind. Also kein Code-Red-Alert, aber wir behalten es im Auge.

Normalerweise sind BlueSpice Webservices so gebunden, dass sie nur auf Verbindungen von localhost hören (keine ausgehenden Verbindungen, z. B. aus dem lokalen Intranet oder sogar dem Internet). Das minimiert das Risiko. Aber natürlich gibt es auch Ausnahmen von dieser Regel, insbesondere bei Multi-Server-Konfigurationen. Es ist auch keine 100%ige Sicherheit.

DrawIO: Einige Kunden haben eine eigene "DrawIO"-Instanz, die auf der Liste der anfälligen Systeme steht.

Potenziell betroffene Komponenten

• ElasticSearch => nicht anfällig
• Java-Server
  • Tomcat => explizite Aktion zur Verwendung von log4j erforderlich. Wir verwenden es nicht => nicht anfällig
    • https://tomcat.apache.org/tomcat-8.0-doc/logging.html#Using_Log4j
    • https://tomcat.apache.org/tomcat-9.0-doc/logging.html#Using_java.util.logging_(default)
    • https://tomcat.apache.org/tomcat-10.0-doc/logging.html#Using_java.util.logging_(default)
  • Jetty => https://www.eclipse.org/jetty/security_reports.php Nicht konfiguriert, jetty benutzt slf für das Logging, wir ändern das nicht => nicht anfällig
• Java Webservices
  • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfällig
  • VisualDiff => benutzt daisydiff + andere, kein log4j => nicht anfällig
  • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfällig
• Draw.io => nicht anfällig

Docker: Gibt es betroffene Komponenten?

• Wir haben den Aufbau unseres Docker-Builds überprüft und konnten keine Anfälligkeiten feststellen
  • https://security-tracker.debian.org/tracker/CVE-2021-44228