Eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die als Log4Shell bezeichnet wird, führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer sehr kritischen Bedrohungslage.
Auch Produkte der VertiGIS sind von der Schwachstelle in Log4j betroffen. VertiGIS arbeitet an einer Lösung des Problems und der kurzfristigen Bereitstellung von Sicherheitsupdates. Bis dahin empfehlen wir unseren Kunden, die durch das BSI empfohlenen Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die betroffenen Systeme angemessen überwachen zu können.
Bitte folgen Sie diesen Beitrag, um über aktuelle Informationen informiert zu werden.
VertiGIS empfiehlt derzeit für alle supporteten WebOffice-Versionen (10.8 & 10.9) ein Upgrade auf den aktuellsten Sammelpatch sowie die Installation der neuesten FTS-Index-Anwendung (Build 8.11.1). Diese Komponenten stehen hier zum Download bereit:
Für alle älteren Anwendungen bzw. Patchstände sind die untenstehenden Schritte durchzuführen. Ihre WebOffice Ansprechpartner*innen beraten Sie gerne um Ihnen einen optimalen Sicherheitsstandard zu ermöglichen.
VertiGIS untersucht aktuell die Auswirkungen der Sicherheitslücke CVE-2021-44228 in der Log4j-Bibliothek, die am 9. Dezember 2021 bekannt gegeben wurde, in Bezug auf die WebOffice-Applikation sowie dazugehörigen Komponenten mit hoher Priorität und informiert hiermit über den jeweils aktuellen Stand:
1. ArcGIS Basistechnologie
Bezüglich der ArcGIS Basistechnologie empfiehlt VertiGIS den offiziellen Artikel seitens Esri Inc.:
ArcGIS Software and CVE-2021-44228 (esri.com)
Hinweis
Dieser Artikel von Esri Inc. wird laufend aktualisiert und VertiGIS empfiehlt diesen Beitrag regelmäßig zu kontrollieren.
ArcGIS 10.7.1 (Enterprise als auch Server standalone) und frühere Versionen sind potenziell gefährdet, und es laufen derzeit weitere Analysen bei Esri Inc., um die Angreifbarkeit zu ermitteln.
Esri Inc. empfiehlt darüber hinaus nun „Out of an abundance of caution“ (aus reiner Vorsicht), dass auch auf aktuellen ArcGIS 10.8.1 Installationen gewisse Scripts durchlaufen sollten. Mehr Informationen dazu im ArcGIS Blog Beitrag.
Kunden, die ArcGIS-Versionen einsetzen, die möglicherweise anfällig sind, wird dringend empfohlen, für alle Systeme, die mit dem Internet verbunden sind, oder für andere gefährdete Systeme sofort umfassende Abwehrmaßnahmen zu ergreifen.
Esri Inc. wird so bald wie möglich entsprechende Patches für die betroffenen Versionen zur Verfügung stellen.
Esri hat Log4Shell-Abschwächungsskripte erstellt, deren Anwendung auf alle Installationen von ArcGIS Enterprise und ArcGIS Server jeder Version der Software dringend empfohlen wird.
Detaillierte Informationen:
- ArcGIS Server – Enthält auch eine Entschärfung für ArcGIS GeoEvent Server
- Portal for ArcGIS
- ArcGIS Data Store
Esri hat begonnen, Patches für die betroffenen Produkte bereitzustellen. Für weitere Produkte und Versionen folgt die Bereitstellung. Eine Übersicht über die bereits veröffentlichten und noch kommenden Patches finden sie hier:
https://support.esri.com/en/download/7964
Bitte kontrollieren Sie diesen Artikel regelmäßig auf Aktualisierungen. Bitte beachten Sie auch die weiterführenden Hinweise von Esri zu den Patches
ArcGIS Enterprise Log4j Security Patches Available
2. Servlet Engine Apache Tomcat
Bezüglich der Servlet Engine Apache Tomcat empfiehlt VertiGIS die offizielle Seite zu Apache Tomcat 9.x Sicherheitsschwachstellen:
Apache Tomcat® - Apache Tomcat 9 vulnerabilities
Die derzeit unterstützten Tomcat-Versionen (8.5.x, 9.0.x, 10.0.x und 10.1.x) sind nicht von einer Version von log4j abhängig.
In einer Standardinstallation von Apache Tomcat befindet sich normalerweise keine Log4j-Datei im Tomcat\lib-Verzeichnis. Sollte sich diese doch darin befinden, so wurde diese weder im Zuge einer Standard-Tomcat-Installation noch im Zuge einer WebOffice-Installation dort abgelegt.
3. WebOffice Applikationsserver
Die Analyse seitens WebOffice-Entwicklung hat ergeben, dass die WebOffice-Anwendung von der Sicherheitslücke nicht betroffen ist, weil der WebOffice Applikationsserver eine andere Version von Log4j verwendet, die nicht von dieser Sicherheitslücke betroffen ist.
4. WebOffice Volltextsuche (FTS-Index)
Bezüglich der WebOffice Volltextsuche (FTS-Index) empfiehlt VertiGIS den offiziellen Artikel seitens Apache Solr:
Solr™ Security News - Apache Solr
Daher empfiehlt VertiGIS aktuell eine manuelle Anpassung der Volltextsuche-Applikation, bis ein offizielles Sicherheitsupdate freigegeben wird.
Hinweis
Bei empfohlener Konfiguration des IP-Filters konnte es auch vor der Anpassung des Apache Solr zu keiner Gefahr kommen.
Notwendige Schritte zur Anpassung der Volltextsuche-Applikation:
- Stoppen Sie den Windows Dienst WebOffice FTS-Index (Port 8983)
- Ändern Sie die Datei solr.in.cmd (zu finden im Installationsverzeichnis von WebOffice FTS-Index, Beispielpfad: .\Program Files (x86)\VertiGIS\WebOffice FTS-Index\bin\solr.in.cmd) durch Hinzufügen folgender Zeile wie folgt:
set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true
- Wechseln Sie in einem Datei Explorer in das Verzeichnis „WebOffice FTS-Index“ Ihrer WebOffice FTS-Index-Installation (Beispielpfad: C:\Program Files (x86)\VertiGIS\WebOffice FTS-Index).
- Ersetzen Sie im Unterverzeichnis „server\lib\ext“ die folgenden Dateien – falls vorhanden – durch die entsprechenden aktualisierten Dateien (Download-Link via Apache Software Foundation), indem Sie die vorhandenen Dateien löschen und die neuen Dateien in das Verzeichnis kopieren:
- log4j-api-2. XX.XX.jar durch log4j-api-2.17.x.jar
- log4j-core-2.XX.XX.jar durch log4j-core-2.17.x.jar
- log4j-1.2-api-2.XX.XX.jar durch log4j-1.2-api-2.17.x.jar
- log4j-slf4j-impl-2.XX.XX.jar durch log4j-slf4j-impl-2.17.x.jar
- log4j-web-2.XX.XX.jar durch log4j-web-2.17.x.jar
- Nach diesen Anpassungen muss der Windows Dienst WebOffice FTS-Index (Port 8983) wieder gestartet werden.
Ausblick
Nach Veröffentlichung eines offiziellen Patches für das Solr Framework wird VertiGIS eine aktualisierte Version von WebOffice FTS-Index als Download zur Verfügung stellen.
Hinweis
Generell empfiehlt VertiGIS sämtliche Software (Windows, ArcGIS, Java, Tomcat, WebOffice, ...) immer aktuell zu halten.
VertiGIS wird Sie über mögliche weitere Analyseergebnisse aus der WebOffice-Entwicklung am Laufenden halten.
Aktualisierung 5 - 15.02.2022, 13:00:
- Abschnitt 1. ArcGIS Basistechnologie
- Esri hat mit der Bereitstellung von Patches begonnen
Aktualisierung 4 - 12.01.2022, 10:45:
- Abschnitt 4. WebOffice Volltextsuche (FTS-Index)
- Neuer Download-Link via Apache Software Foundation für manuelle Anpassung der log4j-Dateien in der Volltextsuche-Applikation
Aktualisierung 3 - 21.12.2021, 09:45:
- Hinweis zum Upgrade auf den neuesten Sammelpatch sowie der FTS-Index-Anwendung
Aktualisierung 2 - 16.12.2021, 09:30:
- Abschnitt 1. ArcGIS Basistechnologie
- Neuer Hinweis hinzugefügt
- Information hinzugefügt, dass nun ein Skript von Esri Inc. verfügbar ist
Aktualisierung 1 - 15.12.2021, 17:00:
- Abschnitt 4. Volltextsuche (FTS-Index)
- Zusätzliche Anpassungsmöglichkeit: Ersetzen der log4j-Dateien im Installationsverzeichnis von WebOffice FTS-Index
Kommentare
1 Kommentar
VertiGIS empfiehlt derzeit für alle supporteten WebOffice-Versionen (10.8 & 10.9) ein Upgrade auf den aktuellsten Sammelpatch vom 20.12.2021 sowie die Installation der neuesten FTS-Index-Anwendung (Build 8.11.1). Diese Komponenten stehen auf WebOffice 10.9 Updates (vertigis.com) bzw. WebOffice 10.8 Updates (vertigis.com) zum Download bereit.
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.