Wichtige Information für alle venabo Kunden

Kritische Schwachstelle Log4J

die Schwachstelle im Log4j Framework “CVE-2021-44228“ sorgt aktuell für Schlagzeilen.

Diese Lücke ermöglicht es, dass unter gewissen Bedingungen ein externer Angreifer betroffene Systeme von außen unter seine Kontrolle bringen kann. Lt. BSI handelt es sich um eine kritische Bedrohungslage und hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft.

Wie wirkt sich die Sicherheitslücke aus?

Die venabo Produkte selber verwenden das Log4j Framework nicht. Allerdings nutzt venabo die Drittanbieterkomponente “Elasticsearch”. Diese Komponente ist unter gewissen Voraussetzungen und bei bestimmten Versionen von der Sicherheitslücke betroffen.

Unsere Entwicklung hat es unter unterschiedlichsten Konstellationen nicht geschafft, die Schwachstelle auszunutzen.

Daher gehen wir nicht von einer unmittelbaren Gefahr aus. Dennoch sollten Sie unseren nachfolgenden Handlungsempfehlungen folgen:

Szenario: Cloud Hosting über die venabo GmbH

Das Elasticsearch läuft in einem eigenen Docker-Container. Die Kommunikation und der Zugriff auf die Komponente können nur intern im Docker eigenen Netzwerk erfolgen. Hierdurch ist ein Zugriff von außen nicht möglich. Wir sind der Handlungsempfehlung von Elasticsearch gefolgt und haben die JVM-Option “-Dlog4j2.formatMsgNoLookups=true” auf allen Cloud Servern umgesetzt, wodurch die Lücke geschlossen ist.

Fazit: Es ist nichts zu unternehmen und die Server sind sicher!

Szenario: Lokale Installation unter Linux

Elasticsearch läuft ebenfalls in einem geschlossenen Docker-Container und ein Zugriff von außen auf die Komponente ist nicht möglich. Dennoch empfehlen wir die JVM-Option “-Dlog4j2.formatMsgNoLookups=true” zu setzen, um die Lücke vollumfänglich zu schließen.

Fazit: Es besteht kein zwingender Handlungsbedarf, wir empfehlen dennoch die JVM-Option zu setzen bzw. das Update auf die V5.14.3 durchzuführen.

Szenario: Lokale Installation unter Windows

Unter Windows erfolgt die Installation über unseren venabo-Installer. In allen Versionen, die damit installiert wurden, ist die Schwachstelle enthalten. Elasticsearch läuft unter Windows nicht in einem Docker-Container und ist über den Port 9200 erreichbar. Dieser Port ist in der Regel von extern nicht erreichbar und somit keine Schwachstelle.

Fazit: Stellen Sie sicher, dass der Port intern wie auch extern nicht erreichbar ist. Dadurch besteht kein zwingender Handlungsbedarf. Wir empfehlen dennoch ein Update auf Version 5.14.3.

venabo Version 5.14.3

Elasticsearch hat zur Schließung der Sicherheitslücke bereits ein Update veröffentlicht. Um jegliches Risiko auszuschließen, ist dieses Update Bestandteil unserer Version 5.14.3 und ab sofort verfügbar.

Sprechen Sie uns gerne an

Bei jeglichen Unklarheiten oder Fragen zu dem Thema, nehmen Sie gerne Kontakt mit uns auf. Sollten Sie Unterstützung beim Update oder dem Setzen der JVM-Option benötigen, stehen wir Ihnen jederzeit zur Verfügung!