SERviceDesk Knowledge Base - Apache log4j v2 CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832

Beschreibung

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Für bestimmte Versionen dieser Bibliothek wurde eine extrem kritische Bedrohungslage (CVE-2021-44228 mit CVSS Score 10) identifiziert. Im weiteren Verlauf wurden zusätzliche Sicherheitslücken publiziert (CVE-2021-45046 und CVE-2021-45105).

Log4j in den Versionen 2.0 bis 2.14.1 ermöglicht es Angreifern gegebenenfalls, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User-Agent zu protokollieren.

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren. Darüber hinaus kann die kritische Schwachstelle gegebenenfalls auch auf internen Systemen ausgenutzt werden, sofern diese Systeme externe Daten entgegennehmen oder verarbeiten.

Bezüglich weiterer Details siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html (in Deutsch).

Update 30.12.2021:
Am 28.12.2021 wurde mit CVE-2021-44832 eine zusätzliche Sicherheitslücke bekannt, die mit log4j v2.17.1 geschlossen wird. Diese Sicherheitslücke ist allerdings nicht als kritisch bewertet. Insbesondere müsste ein Angreifer hier bereits schreibenden Zugriff auf die log4j-Konfiguration haben.

Ein Update auf die log4j v2.17.1 erfolgt mit den nächsten Releases der betroffenen SER Produkte.

Möchten Sie Ihr System hinsichtlich der unten aufgeführten CVEs durch eine Aktualisierung von log4j patchen, so empfehlen wir gleich log4j 2.17.1 zu verwenden, mit welcher auch direkt CVE-2021-44832 behoben wird.

Update 21.12.2021:
Am 18.12.2021 wurde mit CVE-2021-45105 eine weitere Sicherheitslücke in log4j 2.16 mit CVSS Score 7.5 bekannt, die mit log4j 2.17 geschlossen wurde. Es handelt sich hierbei um die Möglichkeit einer Denial of Service-Attacke. Ein Remote Code-Ausführung ist hier nicht möglich.

Bezüglich weiterer Details siehe https://logging.apache.org/log4j/2.x/security.html

Betroffene SER Produkte (Update vom 21.12.2021):

In einigen SER Produkt Releases wird die Bibliothek log4j in den oben angegebenen kritischen Versionen verwendet. Die betroffenen Produkte können nachfolgender Tabelle entnommen werden.

Die jeweils empfohlene Lösung wird in der Spalte „Lösung“ angegeben.

Update 21.12.2021:
Neue Patches bzw. Hotfixes, die log4j in der Version 2.17.0 enthalten, wurden bereitgestellt und in der Tabelle ergänzt. Zudem empfehlen wir nur noch eine Variante eines konfigurativen Workarounds, sofern ein Update nicht in Frage kommt.

Produkt	Betroffene Versionen	Lösung
Doxis4 CSB	V03.04p0 bis V03.04p7 (nur Fulltext Service)	Konfigurativer Workaround oder Aktualisierung von log4j auf Version 2.17.0
Doxis4 CSB	V04.00p0 bis V04.01p3 (nur FIPS & Fulltext Service)	Konfigurativer Workaround oder Update auf V04.01p3 Hotfix 1 oder Aktualisierung von log4j auf Version 2.17.0
Doxis4 ERP Connection Service	nur Version 1.6.0	Konfigurativer Workaround oder Update auf Version 1.6.2
Doxis4 XInvoice Converter	V01.0.0 und V1.1.0	Konfigurativer Workaround oder Update auf Version 1.1.2
Doxis4 safeLock	V02.05p0 bis V02.05p4	Update auf Hotfix 2, anwendbar für alle V02.05 inklusive aller Patches

Workaround

Um die beiden sehr kritischen Schwachstellen CVE-2021-44228 und CVE-2021-45046 in log4j v2 zu umgehen, empfehlen wir nur noch die Variante, die JNDILookup-Klasse aus log4j zu entfernen. Hintergrund ist, dass das Risiko von CVE-2021-45046 inzwischen hochgestuft wurde. Das Setzen der Java Property "-Dlog4j2.formatMsgNoLookups=True“ behebt das Problem nicht.

Weitere Vorteile dieser Variante sind

Leichter automatisiert und einheitlich anwendbar
Umfasst auch kundenspezifische Entwicklungen
Umfasst auch Elasticsearch, sofern betroffen[1]
Auch anwendbar für Log4j Versionen vor V2.10

Bitte beachten Sie, dass die am 18.12.2021 veröffentlichte Schwachstelle CVE-2021-45105 mit dem obigen Workaround nicht geschlossen werden kann. Workarounds zum Schließen dieser Schwachstelle finden sich unter https://logging.apache.org/log4j/2.x/security.html. Allerdings sind durch CVE-2021-45105 weder Information Leakage noch Remote Code-Ausführung möglich, so dass der konfigurative Workaround weiterhin ein sehr schneller Weg ist, die Bedrohungslage deutlich zu reduzieren. Dies gilt insbesondere. dann, wenn ein Produkt-Update nicht kurzfristig eingespielt werden kann.

Neue Versionen der betroffenen SER Produkte (Update vom 21.12.2021):

Für die betroffenen SER Produkte wurden Patches bzw. Hotfixes bereitgestellt, in denen log4j v2 nur noch in der Version 2.17.0 verwendet wird. Damit werden CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 behoben:

Produkt	Aktualisiert auf Log4j v2.17
Doxis4 CSB	V04.01p3 Hotfix1
Doxis4 ERP Connection Service	V1.6.2
Doxis4 XInvoice Converter	V1.1.2
Doxis4 safeLock	Hotfix 2 für V02.05p0 bis V02.05p4

Bei Doxis4 CSB V03.04 und V04.00 ist darüber hinaus wie nachfolgend beschrieben auch ein Update der in Doxis4 Fulltext Service und Doxis4 FIPS enthaltenen log4j v2 auf die 2.17.0 möglich, um hier ein Update zu vermeiden.

Aktualisierung von log4j v2 in Doxis4 CSB FIPS & Fulltext für V03.04 und V04.00 (Neu am 21.12.2021)

Ältere Versionen ab V03.04, bei denen ein vollständiges Upgrade nicht möglich ist oder nicht gewünscht wird, können alternativ auch gezielt die Bibliotheken von log4j2 aktualisieren.

Dafür ist wie im Folgenden beschrieben vorzugehen. Alle genannten Dateien sollten zuerst gesichert und dann entfernt bzw. ersetzt werden.

Doxis4 Fulltext Service (ab V03.04)

Im Verzeichnis lib
log4j-api.jar durch log4j-api-2.17.0.jar ersetzen
log4j-core.jar durch log4j-core-2.17.0.jar ersetzen
log4j-1.2-api.jar durch log4j-1.2-api-2.17.0.jar ersetzen

Doxis4 FIPS (ab V04.00)

Im Verzeichnis lib/commons-impl
log4j-api-2.11.2.jar durch log4j-api-2.17.0.jar ersetzen
log4j-core-2.11.2.jar durch log4j-core-2.17.0.jar ersetzen
Im Verzeichnis lib
log4j-1.2-api-2.11.2.jar durch log4j-1.2-api-2.17.0.jar ersetzen

Kommandozeilentool csbcmd (ab V04.00p1)

Im Verzeichnis csbcli\lib\common
log4j-api-2.11.2.jar löschen
log4j-core-2.11.2.jar löschen
Dieser Schritt ist optional, da die Bibliothek zwar ausgeliefert, vom Kommandozeilentool aber nicht benutzt wurde.

Von Log4j v2 Sicherheitsschwachstellen nicht betroffene SER Produkte:

An dieser Stelle führen wir nur die auf Java basierenden Produkte auf, die nicht von der Schwachstelle betroffen sind:

Produkt	Versionen
Doxis4 JavaAPI	Alle Versionen
Doxis4 webCube	Alle Versionen
Doxis4 mobileCube	Alle Versionen
Doxis4 XInvoice Converter	ab V1.1.2
Doxis4 OrgaTransmitter	Alle Versionen
Doxis4 CMIS Connector	Alle Versionen
Doxis4 webDAV Connector	Alle Versionen
Doxis4 webDAV Connector for ILM	Alle Versionen
Doxis4 DICOM Connector	Alle Versionen
Doxis4 safeLock	< V2.5
Doxis4 InvoiceMaster Control Plus (DIMCP)	Alle Versionen
Doxis4 InvoiceMaster Control (DIMC)	Alle Versionen
Doxis4 Intelligent Invoice Automation	Alle Versionen
Doxis4 ERP Connection Service	< V1.6 oder >= V1.6.2

Alle nicht auf Java basierenden SER-Produkte (z.B. Doxis4 Rendition Server, Doxis4 Gateway, Doxis4 Classification & Extraction Service, …) sind von der Schwachstelle grundsätzlich nicht betroffen.

Die entsprechenden Downloads für die neuen Versionen finden Sie auf Ihrem SER Portal FTP Server.

Sollten Ihnen die Zugangsdaten nicht bekannt sein, wenden Sie sich bitte an den SERviceDesk.

[APA, 30.12.2021 13:29]

Weiterführende Links

[1] Elasticsearch ist unter Java 8, nicht aber unter Java 11 betroffen. Details finden sich unter: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476