Hauptseite und Meldung/Log4Shell: Unterschied zwischen den Seiten

Version vom 12. Januar 2022, 18:32 Uhr

Anlass

Aktuelle log4j Sicherheitslücke.

BSI Meldung vom 12.12.2021 (CVE-2021-44228)

Berwertung der Schwachstellen in BlueSpice

BlueSpice free, pro, farm
- Aktuelle on-Premise Installationen => nicht betroffen
- Ältere on-Premise Installationen => Elasticsearch könnte verwundbar sein
- Docker-Version => nicht betroffen
BlueSpice Cloud => nicht betroffen

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Bewertung

Aktuelle Version

Elasticsearch => nicht verwundbar
https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Java-Server
- Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht verwundbar
- Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht verwundbar
Java Webservices
- xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht verwundbar
- VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht verwundbar
- LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht verwundbar
Draw.io meldet, dass die Anwendung nicht betroffen ist:
https://twitter.com/drawio/status/1470061320066277382 => nicht verwundbar

Ältere Versionen von BlueSpice 3

Elasticsearch => nicht verwundbar
https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
- Versionen 6.8.9+ (Release:13. Mai 2020) => nicht verwundbar
- Version 6.4.0 - 6.8.8: Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.
  => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
  => nur außerhalb von Bluespice verwundbar
- Versionen ≤ 6.3.x: Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.
  => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
  => nur außerhalb von Bluespice verwundbar

Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:

Kein direkter Zugriff: BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.

Keine Protokollierung von Daten: Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.

Keine Weitergabe von Benutzerdaten: Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.

Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen, ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.

Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.

BlueSpice 2

Solr benutzt log4j => verwundbar

Informationen zur Schadensabwendung finden Sie hier:
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

Geprüfte Komponenten im Docker-Image

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig

https://security-tracker.debian.org/tracker/CVE-2021-44228

BlueSpice Cloud

Swarmpit => nicht betroffen
Drone => nicht betroffen

Weiterführende Links

Feedback zur Dokumentation ist im Community-Forum möglich.

@@ Zeile 1: / Zeile 1: @@
-<div id="mpbanner">
+{{Featureseite|featured=wahr|featuredesc=Wichtige Hinweise zur log4j Sicherheitslücke.|featurestart=22.12.2021}}
-<div id="mpbanner-byline">Willkommen im </div>
+==Anlass==
-<div id="mpbanner-title">BlueSpice 4 Helpdesk</div>
+Aktuelle log4j Sicherheitslücke.
-</div>
-<div id="aktuelles">
+*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
-==Aktuelles==
-{{#ask: [[has feature status::wahr]]  [[has feature start date::≤{{CURRENTTIMESTAMP}}]]
+==Berwertung der Schwachstellen in BlueSpice==
-|?has feature description
-|mainlabel=
+*BlueSpice free, pro, farm
-|format=template
+**[[#Detaillierte Bewertung|Aktuelle on-Premise Installationen]] => <span class="col-turquoise">'''nicht betroffen'''</span>
-|introtemplate=FeatureseiteResultStart
+**[[#Ältere Versionen von BlueSpice 3|Ältere on-Premise Installationen]] => <span class="col-red">'''Elasticsearch könnte verwundbar sein'''</span>
-|template=FeatureseiteResultRow
+**[[#Geprüfte Komponenten im Docker-Image|Docker-Version]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-|outrotemplate=FeatureseiteResultEnd
+*[[#BlueSpice Cloud|BlueSpice Cloud]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-|sort= Modification date
-|order=desc
+Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
-|link=none
-}}
+==Detaillierte Bewertung==
-</div>
-{{Hinweisbox|boxtype=Neutral|icon=|Note text=Hinweise zur [[Meldung/Log4Shell‎‎|log4j Sicherheitslücke]].<br /><br />'''Zusätzliche Info:''' Anwendung der aktuellen [[Setup:Installationsanleitung/Sicherheitspatches_3.2.8|MediaWiki Sicherheitspatches auf BlueSpice 3.2.8]].|bgcolor=#fedb9c}}
+===Aktuelle Version===
-{{Hinweisbox|boxtype=Hinweis|icon=|Note text=Die Helpdesk-Inhalte beziehen sich auf BlueSpice Version 4. [https://de.wiki.bluespice.com Das Helpdesk v.3 können Sie hier erreichen.]<br />
-Bitte beachten Sie, dass sich das Helpdesk im Aufbau befindet. Bis zum Release am 19. Januar 2022 wird es laufend erweitert.}}
+*'''Elasticsearch''' => <span class="col-turquoise">'''nicht verwundbar'''</span><br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
-<div id="maintopics">
+*'''Java-Server'''
-{{Portal flex/Start
+**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|colnum=3
+**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|color=grau
+*'''Java Webservices'''
-|fullfirst=nein
+**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|boxstyle=Hintergrund
+**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|fulllast=nein
+**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|showhd=Hintergrund
+*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-|showtoc=nein
-}}
+===Ältere Versionen von BlueSpice 3===
-{{Portal flex/Box
-|heading=<span class="bi bi-box-arrow-down"></span> Installation und Setup
+*'''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span><br /> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
-|content=*[[Setup:Releasehistorie{{!}}Release-Info]]  {{!}}  [[BlueSpice 4.1{{!}}Was ist neu]]<span class="new"></span>
+**'''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span>
-*[[Setup:Download{{!}}Download der aktuellen Version]]
+**'''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span> <span class="col-turquoise ve-pasteProtect">'''(Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>   <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''
-*[[Setup:Installationsanleitung{{!}}Installationsanleitung]]
+**'''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>    <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''
-*[[Setup:Systemanforderungen{{!}}Systemanforderungen]]
-*Betriebshandbuch
+Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:
-|hdstatus=Nein
-}}
+*'''Kein direkter Zugriff:''' BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
-{{Portal flex/Box
-|heading=<span class="bi bi-door-open"></span> Erste Schritte
+*'''Keine Protokollierung von Daten:''' Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
-|content=*[[Handbuch:Erweiterung/BlueSpiceDiscovery|BlueSpice Layout]]
-*[[Handbuch:Seiten_erstellen|Seite anlegen]]
+*'''Keine Weitergabe von Benutzerdaten:''' Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.
-*[[Handbuch:Erweiterung/VisualEditor|Seite bearbeiten]]
-*Änderungen nachverfolgen
+Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen,  ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.
-*Video-Tutorials
-|hdstatus=Nein
+Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.
-}}
-{{Portal flex/Box
+===BlueSpice 2===
-|heading=<span class="bi bi-layout-text-window-reverse"></span> Basisfunktionen
-|content=*Inhalte organisieren
+*Solr benutzt log4j => '''<span class="col-red ve-pasteProtect">verwundbar</span>''' <br /><br />Informationen zur Schadensabwendung finden Sie hier: <br /> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
-*Suchen und finden
-*Benutzereinstellungen
+===Geprüfte Komponenten im Docker-Image===
-*[[Handbuch:Erweiterung/BlueSpiceBookshelf|Bücherregal]]
+Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span><br />
-|hdstatus=Nein
-}}
+*https://security-tracker.debian.org/tracker/CVE-2021-44228
-{{Portal flex/Box
-|heading=<span class="bi bi-briefcase"></span> Themen
+===BlueSpice Cloud===
-|content=*Blog
-*Qualitätsmanagement
+*Swarmpit => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-*Seitenfreigabe
+*Drone => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-*[[Handbuch:Semantic MediaWiki{{!}}Semantic MediaWiki]]
-*[[Handbuch:Erweiterung/Workflows{{!}}Workflows]]
+==Weiterführende Links==
-<span style="float:right">[[Handbuch:Alle Themen|alle Themen...]]</span>
-|hdstatus=Nein
+* https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html
-}}
+* https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
-{{Portal flex/Box
+* https://www.suse.com/c/suse-statement-on-log4j-log4shell-cve-2021-44228-vulnerability/
-|heading=<span class="bi bi-gear"></span>  Administration
-|content=*[[Handbuch:Erweiterung/BlueSpiceDiscovery/Hauptnavigation anpassen|Hauptnavigation anpassen]]
-* [[Handbuch:Erweiterung/CustomMenu|Zusatzmenü erstellen]]
-*[[Handbuch:Erweiterung/BlueSpiceNamespaceManager|Namensraumverwaltung]]
+[[en:Announcement/Log4Shell]]
-*[[Handbuch:Erweiterung/BlueSpicePermissionManager|Rechteverwaltung]]
+[[de:{{FULLPAGENAME}}]]
-|hdstatus=Nein
-}}
-{{Portal flex/Box
-|heading=<span class="bi bi-flower1"></span>  Anpassung
-|content=*[[Handbuch:Erweiterung/FlexiSkin|FlexiSkin]]
-*Portalseiten
-*Vorlagen Downloads
-|hdstatus=Nein
-}}
-{{Portal flex/End
-|emptybox=nein
-}}
-</div>
-__HIDETITLE__