Apache log4j v1 CVE-2019-17571 / CVE-2021-4104 / CVE-2022-23305


    Beschreibung

    Hinweise zu Verwendung log4j v1 in Doxis4

    Log4j v1 wird noch in einigen SER Produkten verwendet. Diese sind von den Schwachstellen in log4j v2 nicht betroffen. Darüber hinaus sind die SER-Produkte auch nicht von den in log4j v1 gemeldeten Schwachstellen CVE-2019-17571, CVE-2021-4104 und CVE-2022-23305 betroffen, da die Schwachstellen die SocketServer-Klasse bzw. eine JMSAppender-Konfiguration betreffen, die von SER nicht genutzt werden. Dasselbe gilt für CVE-2022-23307, das ursprünglich auf CVE-2020-9493 zurückgeht und eine Schwachstelle in Apache Chainsaw betrifft. Chainsaw wird ebenfalls im Standard nicht von SER Produkten verwendet.


    Da Log4j v1 nicht weiterentwickelt und gepflegt wird, wurde die Aktualisierung von log4j v1 auf log4j v2 in allen SER-Produkten bereits vor einiger Zeit initiiert. Die Anpassungen können in der Regel nicht auf Patch-Level erfolgen. Für einige Produkte ist die Umstellung bereits vollständig erfolgt (Doxis4 safeLock, Doxis4 ERP Connection Service), für andere erst teilweise (Doxis4 CSB für FIPS und Fulltext Service).


    Die nachfolgende Tabelle gibt eine Übersicht, in welchen Produkten log4j v1 noch enthalten ist und mit welchem Release die Umstellung auf log4j v2 erfolgt (aktualisiert am 21.1.22: Umstellung auf log4j2 im WebCube wird vorgezogen):

    Produkt

    Update auf Log4j v2 mit

    Hinweise

    Doxis4 CSB

    V04.02 (Jan. 2022)
    bereits verfügbar

    Doxis4 Fulltext Service wurde bereits mit V03.04 und FIPS mit V04.00 auf log4j v2 aktualisiert. Alle weiteren Komponenten und Services folgen mit V04.02.

    Beachten Sie, dass FIPS für Vor-/Nachverarbeitungen ebenfalls die Java API umfasst, die bis V08.02 noch log4j v1 enthielt

    Doxis4 Java API

    V08.02 (Jan 2022)
    bereits verfügbar

    Diese Version enthält gar kein Log4j mehr. Der Client-Kontext muss das Logging-Framework zukünftig setzen

    Doxis4 webCube
    (sowie Addons wie DIIA bzw. DIMCP)

    V09.01p1 (Feb 2022)


    Doxis4 OrgaTransmitter

    V04.03p3 (Jan 2022)
    bereits verfügbar


    Doxis4 CMIS Connector

    V01.02 (Mai 2022)


    Doxis4 webDAV Connector

    Letztes Release aus 2016 mit veralteter JVM. Offizielles Retirement aktuell in Prüfung. Sollte das Produkt produktiv im Einsatz sein, melden sie sich bitte beim SERviceDesk

    Doxis4 webDAV Connector for ILM

    V02.02 (in Planung)


    Doxis4 DICOM Connector

    V02.01 (in Planung)



    Workaround

    Verwendung von Logpresso zur Behebung von CVE-2019-17571 und CVE-2021-4104

    Da SER-Produkte wie oben erwähnt weder SocketServer noch JMSAppender verwenden, können diese Komponenten auch mit Logpresso entfernt werden, sofern kundenseitig das Logging nicht auf diese Komponenten umgestellt wurde. Damit lässt sich ein im Vergleich zu log4j v2 einheitlicher Workaround etablieren. Hierzu wird Logpresso mit der Option --scan-log4j1 aufgerufen. 


    [APA, 09.02.2022 15:46]


    Weiterführende Links

    Für weitere Details siehe https://github.com/logpresso/CVE-2021-44228-Scanner





    Veröffentlicht