|
|
Zeile 1: |
Zeile 1: |
| == <span class="mw-headline">Anlass</span> == | | {{BSExtensionInfobox |
| Aktuelle log4j Sicherheitslücke.
| | |status=stable |
| | | |developer=Hallo Welt! |
| * [https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
| | |type=BlueSpice |
| | | |edition=BlueSpice free, BlueSpice pro, BlueSpice Farm, BlueSpice Cloud |
| == <span class="mw-headline">Derzeitige Berwertung der Schwachstellen in BlueSpice</span> ==
| | |compatible=BlueSpice |
| | | |category=Infrastruktur |
| * BlueSpice free, pro, farm
| | |license=GPL v3 only |
| ** Aktuelle on-Premise Installationen sind <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
| | |desc=Verbindet BlueSpice pro mit einigen Erweiterungen. |
| ** In älteren on-Premise Installationen <span class="col-red" style="color: rgb(183, 58, 58)">'''könnte eine Elasticsearch Version betroffen sein'''</span>.
| | }} |
| ** Die Docker-Version ist <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
| | '''BlueSpiceProDistributionConnector''' dient als Schnittstelle, um verschiedene MediaWiki Erweiterungen in eine BlueSpice pro Distribution zu integrieren. |
| * BlueSpice Cloud ist <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht betroffen'''</span>.
| |
| | |
| Dies gilt für die von uns installierten Instanzen. <span class="col-red" style="color: rgb(183, 58, 58)">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
| |
| | |
| == <span class="mw-headline">Geprüfte Komponenten in BlueSpice</span> == | |
| | |
| === <span class="mw-headline">Aktuelle Version</span> === | |
| | |
| * '''Elasticsearch''' => <span class="col-turquoise" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
| |
| * '''Java-Server'''
| |
| ** Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| ** Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| * '''Java Webservices'''
| |
| ** xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| ** VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| ** LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| * '''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: https://twitter.com/drawio/status/1470061320066277382 => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| | |
| === <span class="mw-headline">Ältere Versionen von BlueSpice 3</span> ===
| |
| | |
| * '''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
| |
| ** '''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| ** '''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind notwendig. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''
| |
| ** '''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist notwendig. Bitte kontaktieren Sie unseren Support. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''
| |
| | |
| === <span class="mw-headline">BlueSpice 2</span> ===
| |
| | |
| * Solr benutzt log4j. Derzeit gibt es keine Lösung. Deaktivieren Sie die Solr-Suche. => '''<span class="col-red ve-pasteProtect" style="color: rgb(183, 58, 58)">anfällig</span>'''
| |
| | |
| === <span class="mw-headline">Geprüfte Komponenten im Docker-Image</span> ===
| |
| Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect" style="color: rgb(37, 149, 150)">'''nicht anfällig'''</span>
| |
| | |
| * https://security-tracker.debian.org/tracker/CVE-2021-44228
| |