Informationen zur Sicherheitslücke CVE-2021-44228 (Apache log4j)

Diese Informationen haben wir erstmals am 13.12. veröffentlicht.

Was ist passiert?

Am vergangenen Freitag ist eine kritische Lücke der Bibliothek log4j als Zero-Day-Exploit öffentlich geworden. Technische Informationen zu der Schwachstelle gibt es bei bei Lunasec und Cloudflare. Die Schwachstelle wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag als "extrem kritische Bedrohungslage" eingestuft.

Unsere Produkte sind unterschiedlich stark betroffen. Im Folgenden beschreiben wir, inwiefern die Produkte betroffen sind, was Sie tun müssen, um das Problem kurzfristig zu beheben und was wir tun werden, um in unseren Produkten diese Schwachstelle zu beheben.

pirobase CMS

Inwiefern sind Systeme mit pirobase CMS betroffen?

Bei pirobase CMS sind drei Komponenten betroffen:

  • Tomcat Application Server (CMS)
  • Tomcat Application Server (Lucene)
  • Elasticsearch
Was müssen Sie jetzt direkt tun?

In den Startup-Skripten der Komponenten den Parameter

-Dlog4j2.formatMsgNoLookups=true

setzen und neustarten.

  • Elasticsearch: startup.sh bzw. startup.bat
  • Tomcat Application Server (CMS + Suchserver): setenv.sh bzw. setenv.bat
  • Wildfly/JBoss EAP Application Server (CMS + Suchserver): standalone.conf bzw. standalone.conf.bat
Was tun wir als nächstes?

Es werden in Kürze Patch-Releases für CMS 10.3.x und CMS 10.4.x erscheinen (CMS 10.4.1 und CMS 10.3.3). Diese Patch-Releases enthalten eine aktualisierte Version 2.16.0 von log4j, in welcher die Schwachstelle geschlossen ist (im Tomcat Application Server für CMS + Suchserver).

In den 3rd-Party-Komponenten Elasticsearch, JBoss EAP und Wildfly passen wir in den Startup-Skripten den oben genannten Parameter über das Setup an. Sollten Sie diese Software separat installieren, müssen Sie diesen Parameter selbst anpassen (siehe oben).

Update (15.12.2021)

Wir haben die Patch-Releases pirobase CMS 10.3.3 und pirobase CMS 10.4.1 bereitgestellt.

pirobase PIM

Inwiefern sind Systeme mit pirobase PIM betroffen?

Bei pirobase PIM sind folgende Komponenten betroffen:

  • PIM Server
  • Elasticsearch
Was müssen Sie jetzt direkt tun?

Setzen Sie die System-Property

log4j2.formatMsgNoLookups

in den Konfigurationen von pirobase PIM und Elasticsearch.

1) In pirobase PIM
Setzen der System-Property log4j2.formatMsgNoLookups in den pirobase PIM Client- und Server-Konfigurationen

  • PIM Server stoppen
  • $pimRoot/etc/custom-server.conf editieren und folgende Zeile hinzufügen:
    wrapper.java.additional.c1000=-Dlog4j2.formatMsgNoLookups=true
  • $pimRoot/etc/custom-client-launcher.xml editieren und unter dem XML Element <jvmargset...> folgende Zeile hinzufügen:
    <jvmarg value="-Dlog4j2.formatMsgNoLookups=true">
  • PIM wieder starten

2) Elasticsearch
Setzen der System-Property log4j2.formatMsgNoLookups in der Elasticsearch-Konfiguration (Elasticsearch Versionen >= 5.x.x

  • Elasticsearch stoppen
  • In der zentralen Elasticsearch-Konfigurationsdatei config/jvm.options die folgende Zeile hinzufügen: -Dlog4j2.formatMsgNoLookups=true
  • Elasticsearch wieder starten
Was tun wir als nächstes?

In Kürze werden wir die pirobase PIM 10.2.1 veröffentlichen, die eine fehlerbereinigte Version der log4j-Bibliothek enthält. Die oben beschriebene Absicherung der Elasticsearch Instanzen ist aber in jedem Fall durchzuführen, bis eine entsprechen korrigierte Version durch die Firma Elasticsearch zur Verfügung gestellt wird.

imperia CMS

Inwiefern sind Systeme mit imperia CMS betroffen?

Systeme mit imperia CMS sind nicht direkt betroffen, es ist also keine Handlung erforderlich.

Weitere Hinweise

Überprüfen Sie weitere Tools in der Systemumgebung auf die Nutzung auf log4j und sichern Sie diese ebenfalls ab.Sollten Sie weitere Fragen oder Unterstützung benötigen, melden Sie sich gerne bei unserem Support per Servicedesk oder telefonisch (02203 3581-700).

Zuletzt bearbeitet am 15.12.2021 15:12.