Kritische Lücke in log4j auch in CaaS?

Zendesk API User

• 11. Dezember 2021 11:06

Author: zobelrob
Publication Date: 12/11/2021 11:06

Hallo zusammen,

aktuell ist eine Sicherheitslücke in log4j bekannt geworden: Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online

Betrifft diese Lücke auch den CaaS? Dieser ist bei uns aus dem Internet erreichbar und daher überlegen wir, ob wir diesen abschalten müssen.

Viele Grüß

Robert

Tags: caas, log4j, sicherheit, sicherheitswarnung

Verknüpfung mit

• Customers

0

• 

  Zendesk API User

  • 11. Dezember 2021 17:41

  Author: Peter_Jodeleit - 12/11/2021 17:41
  

  Hallo,

  CaaS ist (genauso wie FirstSpirit) nicht betroffen.

  Zum loggen wird beim CaaS Logback Classic eingesetzt.

  Liebe Grüße

  0
• 

  Zendesk API User

  • 12. Dezember 2021 19:22

  Author: lobanova - 12/12/2021 19:22
  

  Hallo Peter.

  Alle FS Versionen sind nicht betroffen?

  Die Suche nach Log4J im FS (2020-05) Verzeichnis gibt die Libs aufgelistet zurück:

  /opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-to-slf4j-2.12.1.jar

  /opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-api-2.12.1.jar

  Gruss & Danke,

  Olga

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:02

  Author: mseyfarth - 12/13/2021 8:02
  

  Hallo Peter,

  hier wäre wohl eine vollständige Auflistung aller FS Versionen hilfreich, welche betroffen und welche nicht sind.

  Nicht alle laufen auf der aktuellsten Version.

  Viele Grüße

  Matthias

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:15

  Author: lehnerv - 12/13/2021 8:15
  

  Hallo!

  Gibt es schon eine offizielle Liste bzw. Info, welche Versionen von FirstSpirit von der Log4j Sicherheitslücke betroffen bzw. nicht betroffen sind?

  Evtl. gibt es ja auch proaktiv von e-Spirit eine Konfigurationsempfehlung, wie diese kurzfristig zu schließen ist.

  Viele Grüße

  Volker

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:27

  Author: eginger - 12/13/2021 8:27
  

  Hallo zusammen,

  bei uns kann ich folgende Versionen im FirstSpirit Verzeichnis finden:

  2021-06 - Webedit:

  log4j-api-2.13.3.jar

  log4j-to-slf4j-2.13.3.jar

  2021-09 - Webedit:

  log4j-api-2.14.1.jar

  log4j-to-slf4j-2.14.1.jar

  Kann schon jemand sagen, wie es mit der neuen FS Version 2021-12 die am Freitag veröffentlicht wurde, aussieht?

  [RELEASE] FirstSpirit™ 2021-12

  Mit freundilchen Grüßen

  Stephan Eginger

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:35

  Author: dleinich - 12/13/2021 8:35
  

  Hallo zusammen,

  wir arbeiten gerade intensiv und aktiv an der Analyse der Schwachstelle und tragen entsprechende Informationen hier zusammen:

  Der Post entsteht gerade und wird nach und nach und schnellstmöglich mit Infos angereichert. Bitte haltet diesen im Auge, um schnellstmöglich über Updates informiert zu werden, die wir heute und in den nächsten Tagen ergänzen werden.

  Herzliche Grüße

  Daniel

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:35

  Author: brandelc - 12/13/2021 8:35
  

  Hallo,

  Vielleicht hilft das bei der Klärung: in der Mitteilung bei apache https://logging.apache.org/log4j/2.x/security.html​ wird explizit auf das "logj4-core" hingewiesen.

  "Versions Affected: all log4j-core versions >=2.0-beta9 and <=2.14.1"

  Das log4j-core-xx.jar ist in einer FirstSpirit Installation wohl nicht mit dabei, da das eigentlich Logging wie von PeterJodeleit beschrieben über Logback ausgeführt wird und nicht über log4j-core.

  Gruß,

  Christian Brandel

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:37

  Author: felix_reinhold - 12/13/2021 8:37
  

  Hi zusammen,

  meines Wissens nach sind nur Systeme betroffen, die die log4j-core nutzen.  log4j-to-slf4j und log4j-api können wohl nicht exploitet werden:

  Log4J2 Vulnerability and Spring Boot

  Viele Grüße

  Felix

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:38

  Author: linde - 12/13/2021 8:38
  

  Im fs-server.jar wird die Version 1.2 mit ausgeliefert. Die 1.x Versionen sind auch nicht so ganz frei von der Problematik so habe ich das bisher verstanden. Wie ist denn da die Handlungsempfehlung?

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:39

  Author: tkarow - 12/13/2021 8:39
  

  Hallo Peter,

  in der OnPremise Dokumentation für Administratoren steht folgendes: Auftretende Fehler und Infomeldungen werden dem Loggingsystem „log4j“ übergeben. Über das Framework kann eine Gewichtung der Log-Ausgaben vorgenommen werden.

  Version 2021-05.

  Ist das nicht der aktuelle Stand?

  Viele Grüße

  Thorsten

  0
• 

  Zendesk API User

  • 13. Dezember 2021 08:42

  Author: linde - 12/13/2021 8:42
  

  Zero-Day Exploit in log4j:​ Hier soll es die weiteren Infos geben.

  0
• 

  Zendesk API User

  • 13. Dezember 2021 10:19

  Author: Radigewski - 12/13/2021 10:19
  

  als schnellen Fix kann man ja in der Content Creator Webapp die beiden jars austauschen.

  Wäre es nicht eine gute Idee für die letzten FirstSpirit Versionen eine neue cxt-cc.fsm mit aktualisierten jars zu liefern?

  Auch wenn nur die log4j-core betroffen sein sollte, würde das den Kunden etwas Ruhe geben.

  0
• 

  Zendesk API User

  • 13. Dezember 2021 10:34

  Author: Windmüller - 12/13/2021 10:34
  

  Die beiden Libs kommen über Spring Boot, enthalten aber nicht die betroffene Klasse "JndiLookup".

  Siehe auch: Log4J2 Vulnerability and Spring Boot

  0

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.