Zusammenfassung |
CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt Bulletin aktualisieren bis 17.12.2021 15:00 |
---|---|
Beratung Freigabedatum | 9. Dezember 2021 |
Produkte |
|
Betroffene Releases | eptos-Module – alle Versionen 5.3 – 6.1
eptos Suchmaschine 2.0 – 2.1 |
Behobene Releases |
|
CVE-ID | CVE-2021-44228, CVE-2021-45046 |
Ausgabe-ID | |
Weitere Informationen | https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ https://www.wired.com/story/log4j-flaw-hacking-internet/ https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot |
Übersicht
Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.
Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.
Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschwächt werden.
Zusammenfassung der Anfälligkeit
Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.
Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.
Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert
Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.
eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api 2.13 hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – ab Release 6.0
Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.
Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsmaßnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.
Software-Fixes
- eptos 6.0.1 wurde auf die unangetastete Version 2.15.0 von Log4j2 aktualisiert
- eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
- eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
- eptos Search Engine 2.1.1, wird auf die neueste Version 2.15.0 von Log4j2 aktualisiert
Was Sie tun müssen
- Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
- Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
- Bitte wenden Sie sich an Ihren Solution Manager
Milderung
Zur Schadensbegrenzung können Sie
- Ändern Sie die Startparameter der betroffenen Programme, indem Sie -Dlog4j2.formatMsgNoLookups=true an der Stelle hinzufügen, an der die JVM-Argumente definiert sind (z. B. in der eptos-config-Map oder unter deployment für den Pod selbst)
- das System neu starten
- bei Mikrodiensten besteht die nachhaltige Art der Behebung darin, neue Versionen von API-Containern zu installieren
Unterstützung
- Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-44228 oder CVE-2021-45046 zu Ihrer Problembeschreibung hinzu.