<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=3260841&amp;fmt=gif">

Log4j Remote Code Execution Vulnerability (CVE-2021-44228) Dez. 2021

Kritische Schwachstellen in der Java-Logging-Bibliothek Log4j

Valeria Di Dato, Marketing/Kommunikation, ajila ag


Sicherheitslücke

Am 9. Dezember hatten Sicherheitsforscher auf eine kritische Schwachstelle in der Java-Logging-Bibliothek Log4j aufmerksam gemacht. Apache Log4j ist ein Java basiertes Framework zum Loggen von Anwendungsmeldungen, das weltweit von unzähligen Unternehmen eingesetzt wird.

 

Dieses Risiko dieser Sicherheitslücke gilt es so rasch als möglich zu minimieren.

Was macht ajila?

  • Nach Bekanntwerden der Schwachstelle hat ajila umgehend entsprechende Sicherheitsmassnahmen eingeleitet.
  • Alle Komponenten auf dem ajila Forms Hub haben wir bereits gepatcht.
  • Unsere Projekt-Teams sind im Kontakt mit ihren technischen Kontaktpersonen für Applikationen, welche durch ajila entwickelt und durch sie betrieben werden.
Nach aktuellem Kenntnisstand sind unsere Produkte Digital Deals und Blink von der Schwachstelle nicht betroffen. Dies betrifft unsere Eigenentwicklungen sowie die von uns eingesetzte Version des Adobe Experience Manager Forms (OSGi Stack). Ebenfalls nicht von der Schwachstelle betroffen ist der ajila Spotter.
 
Update 20. Dezember 2021:
Am 18.12.21 wurde bekannt, dass log4j noch eine weitere als "hoch" eingestufte Sicherheitslücke enthält https://logging.apache.org/log4j/2.x/security.html. Diese wurde im aktuellen Release 2.17 behoben. Keiner der ajila cloud services ist von dieser Schwachstelle betroffen.
Ansonsten gelten die gleichen Empfehlungen wie bereits in diesem Artikel publiziert. Wichtig zu verstehen ist jedoch, dass Release 2.16 und frühere 2.x Releases  je nach Einsatzart noch Schwachstellen aufweisen und darum empfielt ajila, nur den aktuellen Security Release (zum aktuellen Zeitpunt ist dies v2.17) einzusetzen.
 
Update 17. Dezember 2021:
Nach den aktuellsten Informationen von OpenText können wir bestätigen, dass Adformio nicht von der Schwachstelle betroffen ist. 
 
 Details zu Adobe Experience Manager Forms
Gemäss folgendem Hinweis von Adobe sind die folgenden Produkte von der Schwachstelle betroffen:
 
  • Experience Manager 6.5 Forms on JEE (all versions from 6.5 GA to 6.5.11)
  • Experience Manager 6.4 Forms on JEE (all versions from 6.4 GA to 6.4.8)
  • Experience Manager 6.3 Forms on JEE (all versions from 6.3 GA to 6.3.3)
  • Experience Manager 6.5 Forms Designer
  • Experience Manager 6.4 Forms Designer
  • Automated Forms Conversion Service
Die nachfolgenden Produkte sind NICHT betroffen:
  • Experience Manager Forms Workbench (all versions)
  • Experience Manager Forms on OSGi (all versions)
Details zu OpenText Exstream
Gemäss folgendem Hinweis von OpenText (Support Login nötig) sind die folgenden Produkte von der Schwachstelle betroffen:
  • OTDS ab der Version 20.1.1
  • Exstream (Cloud-Native) 20.4 und 21.2
 
Die nachfolgenden Produkte sind NICHT betroffen:
  • Exstream 21.3 (Server Based)
  • Exstream bis Version 16.6.x
  • StreamServe 5.6.x und alle unterstützten DP Live releases
  • Alle «Core Exstream» Komponenten wie den Designer und die engine (alle Versionen)
  • Sämtliche «Orchestration», «Command Center» und «Communications Server» Versionen
  • Empower
  • AFP tools

Was muss ich als Kunde tun?

  • Wir empfehlen allen Kunden ihre eigenen und eingekauften Applikationen auf die Log4j Schwachstelle hin zu prüfen und sobald vorhanden umgehend die entsprechenden Sicherheitspatches einzuspielen.
  • Für weitere Informationen und Unterstützung wenden Sie sich bitte an Ihr ajila Projekt-Team. 

Weiterführende Informationen

Wir werden weiter die Situation beobachten und den Artikel mit neuen Erkenntnissen aktualisieren

Kommentare