Zuletzt bearbeitet vor 4 Monaten
von Margit Link-Rodrigue

Handbuch:Erweiterung/BlueSpiceDiscovery und Meldung/Log4Shell: Unterschied zwischen den Seiten

(Unterschied zwischen Seiten)
VisuellWikitext
Keine Bearbeitungszusammenfassung
 
Keine Bearbeitungszusammenfassung
Markierung: 2017-Quelltext-Bearbeitung
 
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Layout}}
{{Featureseite|featured=wahr|featuredesc=Hinweise zur log4j Sicherheitslücke.|featurestart=22.12.2021}}
==Anlass==
Aktuelle log4j Sicherheitslücke.


== Der Aufbau von BlueSpice ==
*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
Die Benutzeroberfläche des Wiki ist in verschiedene Bereiche unterteilt, die die einzelnen Wiki-Funktionen sinnvoll zusammenfassen. Hier bekommen Sie eine Übersicht über alle Features des Standard-Skin "Discovery".


[[Datei:Handbuch:skin-discovery-hauptbereiche.png|alternativtext=Hauptbereiche des "Discovery" Skin|zentriert|mini|800x800px|Hauptbereiche des "Discovery" Skin]]
==Berwertung der Schwachstellen in BlueSpice==


{| class="wikitable" style="width:100%;"
*BlueSpice free, pro, farm
|+
**[[#Detaillierte Bewertung|Aktuelle on-Premise Installationen]] => <span class="col-turquoise">'''nicht betroffen'''</span>
! style="width:200px;" |Bereich
**[[#Ältere Versionen von BlueSpice 3|Ältere on-Premise Installationen]] => <span class="col-red">'''Elasticsearch könnte verwundbar sein'''</span>
!Beschreibung
**[[#Geprüfte Komponenten im Docker-Image|Docker-Version]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
|-
*[[#BlueSpice Cloud|BlueSpice Cloud]] =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
| style="width:200px;" |[[Handbuch:Erweiterung/BlueSpiceDiscovery#Kopfleiste|1-Kopfleiste]]
|<span style="color: rgb(51, 51, 51)">Beinhaltet wichtige Elemente wie z.B. den Logobereich, das Suchfeld und die Schaltflächen für verschiedene Navigationsmenüs (Megamenüs).</span>
|-
| style="width:200px;" |[[Handbuch:Erweiterung/BlueSpiceDiscovery/Hauptnavigation anpassen|2-Hauptnavigation]]
|Das "Herzstück" der Seitenorganisation. Die Navigationslinks können von Admin-Benutzern angepasst werden. Innerhalb von Büchern wird hier die Kapitelnavigation angezeigt.
|-
| style="width:200px;" |3-Seitenwerkzeuge
|Enthält alle Aktionen, die auf einer Seite ausgeführt werden können. Zusätzlich können Informationen wie die Versionsgeschichte oder die Seiteninformationen von hier aus aufgerufen werden.
|-
| style="width:200px;" |4-Arbeitsbereich
|<span style="color: rgb(51, 51, 51)">Hier werden alle Inhalte erstellt und überarbeitet. Der Arbeitsbereich gliedert sich in den Titelbereich sowie den eigentlichen Seiteninhalt.</span>
|-
| style="width:200px;" |5-Ergänzungsbereich
|Im Ergänzungsbereich werden Zusatzinformationen wie Kategorienzugehörigkeit, Diskussionen und Anhänge angezeigt. Zusätzlich werden Seitenempfehlungen und -bewertungen angezeigt, wenn sie für die Seite aktiviert sind.
|-
|[[Handbuch:Erweiterung/BlueSpiceDiscovery/Fußleiste|6-Fußleiste]]
|<span style="color: rgb(51, 51, 51)">Die Fußleiste beinhaltet Links zu rechtlichen Informationen sowie zu externen Websites rund um MediaWiki.</span>
|}


== Kopfleiste ==
Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
<span class="ve-pasteProtect" style="color: rgb(51, 51, 51)">Die Kopfleiste beinhaltet wichtige Elemente wie z.B. den Logobereich, das Suchfeld und die Schaltflächen für verschiedene Navigationsmenüs (Megamenüs).</span>


[[Datei:Handbuch:skin-discovery-kopfleiste.png|alternativtext=Kopfleiste|zentriert|mini|800x800px|Kopfleiste]]
==Detaillierte Bewertung==
{| class="wikitable" style="width:100%;"
! style="width:200px;" |Funktion
!Beschreibung
|-
| style="width:200px;" |1a-Umschalter Hauptnavigation
|Ermöglicht das Ein- und Ausblenden der Hauptnavigation.
|-
| style="width:200px;" |[[Handbuch:Erweiterung/FlexiSkin|1b-Logo]]
|Das Logo kann über [[Handbuch:Erweiterung/FlexiSkin|FlexiSkin]] ausgetauscht werden.
|-
| style="width:200px;" |1c-Suchfeld mit Quickmenü
|Gefundene Seitentitel werden während der Eingabe des Suchbegriffs in einem Quick-Menü angezeigt. Über die Eingabetaste erfolgt ein Wechsel zum Such-Center, welches die Ergebnisse einer Volltextsuche anzeigt und das Filtern der Ergebnisse ermöglicht.
|-
| style="width:200px;" |[[Handbuch:Seiten erstellen|1d-Schaltfläche "Neuer Inhalt"]]
|Über die Schaltfläche "Neu" wird eine neue Seite angelegt. Über das Untermenü kann direkt eine Unterseite angelegt werden oder eine neue Datei hochgeladen werden. Ein Multi-Upload ist nur über die [[Handbuch:Erweiterung/ExtendedFileList|Dateiliste]] möglich.
|-
| style="width:200px;" |[[Handbuch:Erweiterung/CustomMenu|1e-Zusatzmenü]]
|Ermöglicht Benutzern mit Admin-Rechten, ein [[Handbuch:Erweiterung/CustomMenu|zusätzliches Megamenü]] zu erstellen. Die Schaltfläche wird nur angezeigt, wenn dieses Zusatzmenü angelegt wurde.
|-
|1f-Globale Aktionen
|<span style="color: rgb(51, 51, 51)">Direktlinks zu vielen</span> <span class="mw-lingo-term" style="color: rgb(51, 51, 51)">Spezialseiten</span> <span style="color: rgb(51, 51, 51)">sowie zu Verwaltungsseiten (für Administratoren).</span>
|-
|1g-Sprachenauswahl
|Wenn Sprachenversionen über [[Referenz:BlueSpiceInterWikiLinks|Interwikilinks]] angelegt und auf Seiten verlinkt sind, wird für die Sprachenauswahl ein Megamenü angezeigt.
|-
|1h-Benutzermenü
|<span style="color: rgb(51, 51, 51)">Benutzer verwalten hier selbst ihre Einstellungen, Aufgaben und Benachrichtigungen. Über dem Benutzerbild erscheint ein roter Kreis, wenn ungelesene Benachrichtigungen existieren.</span>
|-
|1i-Umschalter Seitenwerkzeuge
|Ermöglicht das Ein- und Ausblenden der Seitenwerkzeuge.
|}


== Hauptnavigation ==
===Aktuelle Version===
Die Links zu den wichtigsten Wikiseiten werden hier angezeigt. Administratoren können die [[Handbuch:Erweiterung/BlueSpiceDiscovery/Hauptnavigation anpassen|Hauptnavigation anpassen]].


== Seitenwerkzeuge ==
*'''Elasticsearch''' => <span class="col-turquoise">'''nicht verwundbar'''</span><br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Der Bereich mit den Seitenwerkzeugen enthält alle Aktionen, die auf einer Seite ausgeführt werden können. Zusätzlich können Informationen wie die Versionsgeschichte oder die Seiteninformationen von hier aus aufgerufen werden.
*'''Java-Server'''
[[Datei:Handbuch:skin-areas-werkzeugleiste-DE.png|alt=Seitenwerkzeuge|zentriert|mini|360x360px|Seitenwerkzeuge]]
**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
{| class="wikitable" style="width:100%;"
**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
! style="width:200px;" |Funktion
*'''Java Webservices'''
!Beschreibung
**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
|-
**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
| style="width:200px;" |3a-Standardaktionen
**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
|[[Handbuch:Seiten umbenennen und verschieben|Verschieben]], Kopieren, Löschen, Neu laden
*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
|-
|3b-Arbeitsaktionen
|[[Handbuch:Erweiterung/Workflows|Workflow starten]], Aktualität festlegen, Erinnerung setzen, Zuweisung bearbeiten, [[Handbuch:Erweiterung/BlueSpiceBookshelf|Zu einem Buch hinzufügen]]
|-
|3c-Schnellzugriff
|Exportmöglichkeiten, Teilen, Beobachten
|-
|3d-Seitendetails
|Versionsgeschichte, Seiteninformationen, [[Referenz:Semantic MediaWiki|Attribute anzeigen]]
|-
|3e-Alle Aktionen
|Öffnet ein Dialogfenster, in dem alle Aktionen für die Seite aufgelistet sind.
|}


== Arbeitsbereich ==
===Ältere Versionen von BlueSpice 3===


=== Breadcrumb-Navigation ===
*'''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span><br /> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Die Breadcrumb-Navigation am Beginn des Arbeitsbereichs besteht aus Links, die den Pfad einer Seite wie folgt abbilden:
**'''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span>
**'''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span> <span class="col-turquoise ve-pasteProtect">'''(Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>  <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''
**'''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>    <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''


<code>Namensraum (=Wurzelknoten) > Seitenname > Unterseite Ebene 1 > ... > Unterseite Ebene x</code>
Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:


[[Datei:breadcrumb-subpages.png|alternativtext=Breadcrumb-Navigation|zentriert|mini|450x450px|Breadcrumb-Navigation]]
*'''Kein direkter Zugriff:''' BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.


*'''Keine Protokollierung von Daten:''' Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.


Wenn die Seite ''<Namensraum>:Hauptseite'' (Sprachvariationen: en:''Main_Page'' / fr:''Accueil'' / zh:首頁) existiert, verlinkt der Wurzelknoten zu dieser Seite.  
*'''Keine Weitergabe von Benutzerdaten:''' Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.


Wenn diese Seite nicht existiert, verlinkt der Wurzelknoten zur Seite "Alle Seiten" (''Special:Allpages'') des entsprechenden Namensraums. Soll der Wurzelknoten zu  einer anderen Seite (z.B. ''<Namensraum>:Portal)'' verlinken, so muss diese Seite zur Seite ''<Namensraum>Hauptseite'' weitergeleitet werden.
Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen, ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.


== Ergänzungsbereich ==
Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.


== Fußleiste ==
===BlueSpice 2===
<span class="ve-pasteProtect" style="color: rgb(51, 51, 51)">Die Fußleiste beinhaltet Links zu rechtlichen Informationen sowie zu externen Websites rund um MediaWiki. Die Links zu den rechtlichen Informationen können über Seiten im Namensraum ''MediaWiki'' von Wiki-Administratoren angepasst werden.</span>


* <span class="ve-pasteProtect" style="color: rgb(51, 51, 51)">[[Handbuch:Erweiterung/BlueSpiceDiscovery/Fußleiste|Anpassen der Fußleiste]]</span>
*Solr benutzt log4j => '''<span class="col-red ve-pasteProtect">verwundbar</span>''' <br /><br />Informationen zur Schadensabwendung finden Sie hier: <br /> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
{{translation}}
 
===Geprüfte Komponenten im Docker-Image===
Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span><br />
 
*https://security-tracker.debian.org/tracker/CVE-2021-44228
 
===BlueSpice Cloud===
 
*Swarmpit => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
*Drone => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
 
==Weiterführende Links==
 
* https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html
* https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
* https://www.suse.com/c/suse-statement-on-log4j-log4shell-cve-2021-44228-vulnerability/
 
 
 
[[en:Announcement/Log4Shell]]
[[de:{{FULLPAGENAME}}]]

Version vom 12. Januar 2022, 17:27 Uhr

Anlass

Aktuelle log4j Sicherheitslücke.

Berwertung der Schwachstellen in BlueSpice

Dies gilt für die von uns installierten Instanzen. Kunden müssen ihren Teil der Installation überprüfen (d.h. Betriebssystem, zusätzliche Pakete, etc.)

Detaillierte Bewertung

Aktuelle Version

  • Elasticsearch => nicht verwundbar
    https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
  • Java-Server
    • Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht verwundbar
    • Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => nicht verwundbar
  • Java Webservices
    • xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => nicht verwundbar
    • VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => nicht verwundbar
    • LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => nicht verwundbar
  • Draw.io meldet, dass die Anwendung nicht betroffen ist:
    https://twitter.com/drawio/status/1470061320066277382 => nicht verwundbar

Ältere Versionen von BlueSpice 3

  • Elasticsearch => nicht verwundbar
    https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
    • Versionen 6.8.9+ (Release:13. Mai 2020) => nicht verwundbar
    • Version 6.4.0 - 6.8.8: Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.
      => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
      => nur außerhalb von Bluespice verwundbar
    • Versionen ≤ 6.3.x: Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.
      => nicht verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)
      => nur außerhalb von Bluespice verwundbar

Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:

  • Kein direkter Zugriff: BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
  • Keine Protokollierung von Daten: Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
  • Keine Weitergabe von Benutzerdaten: Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.

Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen, ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.

Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.

BlueSpice 2

Geprüfte Komponenten im Docker-Image

Die Liste der im Docker-File aktivierten Packages wurde geprüft. => nicht anfällig

BlueSpice Cloud

  • Swarmpit => nicht betroffen
  • Drone => nicht betroffen

Weiterführende Links

Technische Referenz: BlueSpiceDiscovery



Feedback zur Dokumentation ist im Community-Forum möglich.

Abgerufen von „https://de.wiki.bluespice.com/w/index.php?title=Handbuch:Erweiterung/BlueSpiceDiscovery&oldid=2739
Keine Kategorien vergebenBearbeiten

Diskussionen