Status der und Maßnahmen für die prodexa Cloud-Anwendungen bezüglich der “log4shell” Sicherheitslücke (CVE-2021-44228)

Im Zuge der aktuell bekannt gewordenen Sicherheitslücke von log4j haben wir gründlich geprüft, ob wir durch die als “log4shell” bekannte Sicherheitslücke betroffen waren und sind.
Nach unseren Untersuchungen kommen wir zu dem Schluss, dass keine Gefährdung bestand oder besteht. Dies wird über folgende Mechanismen sichergestellt:

log4j Versionen

Unsere PIM7 und PIM8-Anwendungen verwenden die log4j Versionen 1.2.16 und 1.2.17 und sind damit nicht von der Sicherheitslücke betroffen.
Diese tritt erst in log4j Versionen ab 2.x auf. Einzige Ausnahme ist von uns genutzte Solr-Server. Dieser ist aber von außerhalb nicht erreichbar.

Firewall und Webserver

Trotz des Einsatzes einer potenziell betroffenen log4j Version 2.11, war und ist die Solr-Komponente über die Firewall- und Webserver-Konfiguration (Apache2) geschützt. Requests von Außen an dieses Modul sind nicht möglich.

Josso (Authentifizierung per Username/Passwort)

Die über HTTPS erreichbaren Anwendungsteile sind zusätzlich durch unser Josso-Modul geschützt. Alle Request an die PIM-Systeme werden durch den Josso-Server authentifiziert und erst nach erfolgreicher Anmeldung mit Usernamen und Passwort verarbeitet.

Anpassung der Java-Konfiguration von Solr

Zur weiteren Absicherung empfiehlt die Apache Software Foundation, die Systemvariablen von Solr so anpassen, dass ein Ausnutzen der Sicherheitslücke selbst ohne Firewall- und Webserver-Schutz nicht mehr möglich ist. Dies haben wir bereits auf allen Cloud-Systemen bereits umgesetzt.
Systeme, die auf der Kundenseite betrieben werden, können ebenfalls leicht angepasst werden, siehe Maßnahmen für Onpremises Systeme.

Weblink: https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

Weitere Hintergrundinformationen

Als weitere Erläuterung empfehlen wir die folgenden Artikel.

 “Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht” von heise online:
https://www.heise.de/news/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html

“Log4Shell log4j vulnerability” von stories-so-far:
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/