Anlass
Aktuelle log4j Sicherheitslücke.
Derzeitige Berwertung der Schwachstellen in BlueSpice
- BlueSpice free, pro, farm
- Aktuelle on-Premise Installationen sind nicht betroffen.
- In älteren on-Premise Installationen könnte eine Elasticsearch Version betroffen sein.
- Die Docker-Version ist nicht betroffen.
- BlueSpice Cloud ist nicht betroffen.
Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)
Geprüfte Komponenten in BlueSpice
Aktuelle Version
- Elasticsearch => nicht anfällig https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
- Java-Server
- Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
- Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht anfällig
- Java Webservices
- xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht anfällig
- VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht anfällig
- LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht anfällig
- Draw.io meldet, dass die Anwendung nicht betroffen ist: https://twitter.com/drawio/status/1470061320066277382 => nicht anfällig
Ältere Versionen von BlueSpice 3
- Elasticsearch => nicht anfällig https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
- Versionen 6.8.9+ (Release:13. Mai 2020) => nicht anfällig
- Version 6.4.0 - 6.8.8: Eine Konfigurationsänderung und ein Serverneustart sind notwendig. => anfällig
- Versionen ≤ 6.3.x: Ein Update von Elasticsearch ist notwendig. Bitte kontaktieren Sie unseren Support. => anfällig
BlueSpice 2
- Solr benutzt log4j. Derzeit gibt es keine Lösung. Deaktivieren Sie die Solr-Suche. => anfällig
Geprüfte Komponenten im Docker-Image
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig