Zuletzt bearbeitet vor 2 Jahren
von Margit Link-Rodrigue

Meldung/Log4Shell: Unterschied zwischen den Versionen

(Die Seite wurde neu angelegt: „ ==Anlass== Aktuelle log4j Sicherheitslücke. *[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CF…“)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== <span class="mw-headline">Anlass</span> ==
Aktuelle log4j Sicherheitslücke.
* [https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
== <span class="mw-headline">Derzeitige Berwertung der Schwachstellen in BlueSpice</span> ==
* BlueSpice free, pro, farm
** Aktuelle on-Premise Installationen sind <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
** In älteren on-Premise Installationen <span class="col-red" style="color: rgb(183, 58, 58)">'''könnte eine Elasticsearch Version betroffen sein'''</span>.
** Die Docker-Version ist <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
* BlueSpice Cloud ist <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
Dies gilt für die von uns installierten Instanzen. <span class="col-red" style="color: rgb(183, 58, 58)">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
== <span class="mw-headline">Geprüfte Komponenten in BlueSpice</span> ==
=== <span class="mw-headline">Aktuelle Version</span> ===
* '''Elasticsearch''' => <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
* '''Java-Server'''
** Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
** Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
* '''Java Webservices'''
** xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
** VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
** LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
* '''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: https://twitter.com/drawio/status/1470061320066277382 => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
=== <span class="mw-headline">Ältere Versionen von BlueSpice 3</span> ===
* '''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
** '''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
** '''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind notwendig. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''
** '''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist notwendig. Bitte kontaktieren Sie unseren Support. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''


==Anlass==
=== <span class="mw-headline">BlueSpice 2</span> ===
Aktuelle log4j Sicherheitslücke.
 
*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
* Solr benutzt log4j. Derzeit gibt es keine Lösung. Deaktivieren Sie die Solr-Suche. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''
==Derzeitige Berwertung der Schwachstellen in BlueSpice==
 
*BlueSpice free, pro, farm
=== <span class="mw-headline">Geprüfte Komponenten im Docker-Image</span> ===
**On-Premise Installationen sind <span class="col-turquoise">'''nicht betroffen'''</span>.
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
**Die Docker-Version ist <span class="col-turquoise">'''nicht betroffen'''</span>.
 
*BlueSpice Cloud ist <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>.
* https://security-tracker.debian.org/tracker/CVE-2021-44228
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
==Detaillierte Einschätzung der Situation für alle BlueSpice Editionen==
===Geprüfte Komponenten in BlueSpice===
*'''ElasticSearch''' => ElasticSearch meldet, dass sie nicht betroffen sind:  https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476  Kein Code-Red-Alert, aber wir behalten es im Auge. => <span class="col-turquoise">'''nicht anfällig'''</span>
*'''Java-Server'''
**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
*'''Java Webservices'''
**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist:  https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
===Geprüfte Komponenten im Docker-Image===
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span>
*https://security-tracker.debian.org/tracker/CVE-2021-44228

Version vom 15. Dezember 2021, 14:46 Uhr

Anlass

Aktuelle log4j Sicherheitslücke.

Derzeitige Berwertung der Schwachstellen in BlueSpice

  • BlueSpice free, pro, farm
    • Aktuelle on-Premise Installationen sind nicht betroffen.
    • In älteren on-Premise Installationen könnte eine Elasticsearch Version betroffen sein.
    • Die Docker-Version ist nicht betroffen.
  • BlueSpice Cloud ist nicht betroffen.

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Geprüfte Komponenten in BlueSpice

Aktuelle Version

  • Elasticsearch => nicht anfällig https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
  • Java-Server
    • Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
    • Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
  • Java Webservices
    • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfällig
    • VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht anfällig
    • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfällig
  • Draw.io meldet, dass die Anwendung nicht betroffen ist: https://twitter.com/drawio/status/1470061320066277382 => nicht anfällig

Ältere Versionen von BlueSpice 3

BlueSpice 2

  • Solr benutzt log4j. Derzeit gibt es keine Lösung. Deaktivieren Sie die Solr-Suche. => anfällig

Geprüfte Komponenten im Docker-Image

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig



Feedback zur Dokumentation ist im Community-Forum möglich.