Informationen zur Log4j-Sicherheitslücke

log4j Logo

Montag, 13. Dezember 2021

### Letztes Update 10.01.2022 ### . Wir informieren in diesem Blogpost kontinuierlich über aktuelle, relevante Entwicklungen im Zusammenhang mit der Log4j-Sicherheitslücke. Bitte leeren Sie Ihren Browsercache, um immer die aktuellsten Inhalte angezeigt zu bekommen. Sie erreichen diese Seite über den Kurzlink www.contens.de/log4j

Seit Freitag, 10.12.2021 wird vermehrt über die Log4j-Sicherheitslücke berichtet, u.a. vom Bundesamt für Sicherheit in der Informationstechnik BSI (hier und hier (PDF)), auf Heise.de (hier und hier) und Spiegel.de (hier). Wir haben erste Informationen zu CONTENS, Lucee, Adobe ColdFusion, Apache und Elastic für Sie zusammengestellt. 

In Bezug auf Technologien, die bei CONTENS verwendet werden, können wir aktuell folgende Informationen bereitstellen:

CONTENS

Die Content Management Lösung CONTENS ist selbst von der log4j-Sicherheitslücke nicht betroffen. Betroffen sind Java-Anwendungen, die log4j einsetzen.

Lucee

Nach Aussage des Lucee-Teams ist Lucee nicht betroffen, da eine ältere Log4j-Version verwendet wird:

https://dev.lucee.org/t/lucee-is-not-affected-by-the-log4j-jndi-exploit/9331/8

Lucee Updates: http://stable.lucee.org/download/

Adobe ColdFusion

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Update, 21.12.2021: Unsere Tests haben für Adobe ColdFusion 2018 ergeben, dass zusätzlich zum Update 13 folgender Hotfix installiert werden muss: https://tracker.adobe.com/#/view/CF-4212383

Unsere Tests für Abobe ColdFusion 2021 sind derzeit noch nicht abgeschlossen.

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

------------

Update, 20.12.2021: Bitte beachten Sie, dass die am 17.12.2021 veröffentlichten Updates von Adobe ColdFusion 2018 und 2021 derzeit noch getestet werden und noch nicht von CONTENS freigegeben sind.

------------

Update, 17.12.2021: Adobe hat Updates für ColdFusion (2021, 2018) veröffentlicht und empfiehlt deren Einsatz.

COLDFUSION (2021 RELEASE) UPDATE 3: https://helpx.adobe.com/coldfusion/kb/coldfusion-2021-updates.html

COLDFUSION (2018 RELEASE) UPDATE 13: https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-updates.html

------------

Update, 15.12.2021: Adobe hat das Statement "Log4j vulnerability on ColdFusion" veröffentlicht: 
helpx.adobe.com/coldfusion/kb/log4j-vulnerability-coldfusion.html

Darin wird ein Patch für die Versionen 2021 und 2018 zum 17.12.2021 angekündigt. Außerdem beschreibt Adobe Empfehlungen für einen Workaround bis zur Veröffentlichung des Patches. 

------------

Eine offizielle Aussage von Adobe liegt zum Zeitpunkt dieses Posts noch nicht vor. Nach ersten Einschätzungen könnten Adobe ColdFusion 2018 und Adobe ColdFusion 2021 betroffen sein. Weitere Informationen finden Sie hier:

https://community.adobe.com/t5/coldfusion-discussions/zero-day-exploit-affecting-the-popular-apache-log4j-utility-cve-2021-44228/td-p/12585377

https://www.petefreitag.com/item/923.cfm

Adobe ColdFusion Updates: https://www.adobe.com/support/coldfusion/downloads_updates.html

Apache

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Update, 15.12.2021: Apache hat heute gemeldet, dass das JVM Argument "formatMsgNoLookups" nicht mehr als ausreichend in Bezug auf die Sicherheitslücke Log4j angesehen wird.

https://logging.apache.org/log4j/2.x/security.html

Die Empfehlung von Apache und Adobe ist die vollständige Entfernung der JndiLookup Klasse aus dem log4j-core jar oder ein Update auf 2.16. 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Der Netzwerkspezialist paloalto networks informiert über JAVA-basierte Anwendungen, die nach seiner Einschätzung von Log4j betroffen sind, unter anderem Apache Solr, ElasticSearch, Logstash:

https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Elastic

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Update, 10.01.2022: Unsere internen Tests haben ergeben, dass der neueste Elastic-Docker-Container 7.16.2 kompatibel ist mit CONTENS 5.7.2

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Elastic stellt im Forum folgende Informationen in Bezug auf ElasticSearch und ElasticCloud zur Verfügung:

https://discuss.elastic.co/c/announcements/security-announcements/31

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

Es wird empfohlen, die Updateseiten der Hersteller zu beobachten und bereitgestellte Hotfixes oder Security Updates zeitnah nach dem Release einzuspielen.

Empfehlung

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

Update, 15.12.2021: Apache hat heute gemeldet, dass das JVM Argument "formatMsgNoLookups" nicht mehr als ausreichend in Bezug auf die Sicherheitslücke Log4j angesehen wird.

https://logging.apache.org/log4j/2.x/security.html

Die Empfehlung von Apache und Adobe ist die vollständige Entfernung der JndiLookup Klasse aus dem log4j-core jar oder ein Update auf 2.16. 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

 

Bisher galt für alle Java-Anwendung mit Log4j ab Version 2.10.0: Es sollte das JVM-Argument

-Dlog4j2.formatMsgNoLookups=true

gesetzt werden. Weitere Informationen finden Sie hier:

https://www.lunasec.io/docs/blog/log4j-zero-day/

zurück