Wie in zahlreichen Medien berichtet, wurde vor Kurzem eine Sicherheitslücke (CVE-2021-44228) in der Bibliothek Apache Log4j festgestellt, die vom BSI mit der höchsten Warnstufe gekennzeichnet wurde.
Verschiedene Produkte der con terra Technologies nutzen diese Bibliothek und sind daher potentiell von der Sicherheitslücke betroffen. Wir arbeiten intensiv an der Behebung und informieren Sie fortlaufend in diesem Artikel.
Für folgende Produkte stehen neue Releases in der angegebenen Version bereit, die Log4j 2.16.0 nutzen und die Sicherheitslücke schließen:
- map.apps 4.12.3
- map.apps ETL 4.3.1
- map.apps SDI 5.1.7
- map.apps Smart Search 2.1.2
- map.apps User Management 4.18.3
- security.manager NEXT 1.2.2
- security.manager - Enterprise Edition 4.18.3
- security.manager - ArcGIS Edition 1.6.2
- service.monitor 4.5
- smart.finder 2.1.2
- smart.finder SDI 2.1.2
Wir empfehlen, umgehend die neuen Versionen zu installieren.
Sollte dies nicht möglich sein, laden Sie bitte den folgenden Hotfix herunter und wenden Sie die darin beschriebenen Schritte an.
Der Hotfix ist auch für die oben genannten Produktversionen anwendbar, um diese auf Log4j 2.17.1 anzuheben. Dies ist normalerweise nicht notwendig, da die am 18.12.2021 und 28.12.2021 neu gemeldeten CVEs CVE-2021-45105 und CVE-2021-44832 nur Systeme betrifft, die eine bestimmte Konfiguration von Log4j verwenden. Die con terra Technologies Produkte sind in der Standardkonfiguration nicht betroffen.
Der Hotfix kann für die folgenden Produktversionen angewendet werden (jeweils inklusive der angegebenen):
- map.apps 4.0.0-PIONEER - 4.12.2
- map.apps ETL 4.1.5 - 4.3.0 (nur bei Nutzung des FME Server Proxy Servlets)
- map.apps SDI 5.0.0 - 5.1.5
- map.apps Smart Search 1.6.0 - 2.1.1
- map.apps User Management 4.16.0 - 4.18.2
- security.manager ArcGIS Edition 1.0.0 - 1.6.1
- security.manager Enterprise Edition 4.16.0 - 4.18.2
- security.manager NEXT 1.0.0 - 1.2.2
- service.monitor Analytics 4.3.0 - 4.5.0
- service.monitor Monitoring 4.0.0 - 4.5.0
- smart.finder 1.6.0 - 2.1.1
- smart.finder SDI 1.4.0 - 2.1.1
Ein zuvor beschriebener Workaround (über das Setzen der Umgebungsvariablen) wird mittlerweile nicht mehr in allen Fällen als sicher angesehen. Mit dem Update auf Log4j 2.17.0 ist das sicherheitskritische Feature aus der Bibliothek entfernt worden. Die Setzung der Umgebungsvariable ist somit obsolet.
Anmerkungen zu Log4j 1.x
Nach unserem Kenntnisstand kann die Sicherheitslücke nicht bei Nutzung von Log4j 1.x ausgenutzt werden. Diese Version der Bibliothek wird z.B. in security.manager Enterprise Edition <4.16, map.apps SDI 4.x, map.apps Smart Search <1.6.0 und smart.finder 1.6.0 verwendet.
Log4j 1.x bietet kein JNDI Lookup an (Abschnitt: „Is log4j 1.x vulnerable?“). Es gibt jedoch einen weiteren potentiellen Angriffsvektor über einen JMSAppender, wenn dieser in der Logging-Konfiguration verwendet wird – dies ist in der Auslieferungskonfiguration der o.g. Produkten jedoch nicht der Fall.
Um auf Nummer sicher zu gehen, können Sie folgende Schritte durchführen:
- Sicherstellen, dass die Log4j Konfiguration keinen JSMAppender nutzt. Prüfen Sie bitte dazu die Dateien
log4j.xm
l unddefault-log4j.xml
(wenn vorhanden). Diese finden Sie in den Ordnern[INSTALLATION]/WEB-INF/classes
. Bei map.apps Smart Search kann diese zusätzlich unter[data.directory.location]/
(bspw.${user.home}/.smartfinder
) liegen. Stellen Sie sicher, dass hier nirgendwo ein JSMAppender verwendet wird. - Darüber hinaus sollte die entsprechende Klasse komplett aus der
log4j-1.2.17.jar
entfernt werden – damit sind sie auch bei zukünftigen Konfigurationsänderungen auf der sicheren Seite. Eine Anleitung dazu finden Sie im oben referenzierten Artikel. Nach Änderung der beiden Dateien muss der Tomcat Server neugestartet werden. - Optional: Für map.apps Smart Search besteht zudem die Möglichkeit auf Version 1.6.0 zu updaten – diese ist mit map.apps Linie 3 kompatibel. Hier wird Log4j 2.x verwendet und somit kann der beschriebene Hotfix angewandt werden.
Informationen von Esri (ArcGIS) und Safe Software (FME)
- Esri: ArcGIS and CVE-2021-44228 Apache Log4j 2
- Safe Software: Is FME Affected by the Security Vulnerability Reported Against log4j?
Stand: 29.12.2021, 11:00 Uhr