Zum Hauptinhalt gehen

Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) im Kontext UT for ArcGIS

Aktualisiert

Eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die als Log4Shell bezeichnet wird,  führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer sehr kritischen Bedrohungslage.

Auch Produkte der VertiGIS (UT Bausauskunft, UT Integrator, ...) sind von der Schwachstelle in Log4j betroffen. VertiGIS arbeitet an einer Lösung des Problems und der kurzfristigen Bereitstellung von Sicherheitsupdates. Bis dahin empfehlen wir unseren Kunden, die durch das BSI empfohlenen Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die betroffenen Systeme angemessen überwachen zu können.

Inzwischen wurde mit CVE-2021-45105 eine weitere Schwachstelle zu Log4J veröffentlich. Diese ist von der bisherigen Thematik unabhängig und auch nicht so schwerwiegend. Dennoch wird empfohlen auf Log4J 2.17 zu aktualisieren, in dem dieses Problem gelöst ist. Wir haben daher den Einsatz von Log4J 2.17 mit unseren Produkten geprüft und keine Probleme festgestellt.

 

Bitte folgen Sie diesem Beitrag um über aktuelle Informationen informiert zu werden.

 

Nicht betroffene Produkte:

  • UT Desktop Suite (UT Editor, UT Asset Manager, ...)
  • UT Server Suite (aber ArcGIS Server als Basisprodukt siehe unten)
  • UT WebApp
  • Plot / WMPS

    WMPS verwendet Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.

    Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in WMPS standardmäßig nicht verwendet wird. WMPS ist daher von CVE-2021-4104 normalerweise nicht betroffen.

    Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:

    log4j.appender.jms=org.apache.log4j.net.JMSAppender

    Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.

Betroffene Produkte:

  • UT Bauauskunft

    Handlungsanweisung für UT Bauauskunft:
    • Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
      • Stoppen Sie den Tomcat
      • Ersetzen Sie jeweils in ...\BauAuskunftUrm\WEB-INF\lib und ...\BauAuskunftService\WEB-INF\lib folgende Dateien durch die Dateien zu Version 2.17.0 im Download
        • log4j-api-2.11.0.jar
        • log4j-core-2.11.0.jar
        • log4j-web-2.11.0.jar
      • Starten Sie den Tomcat neu

    • Das UT Bauauskunft URM verwendet Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.

      Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in UT Bauauskunft URM standardmäßig nicht verwendet wird. UT Bauauskunft URM ist daher von CVE-2021-4104 normalerweise nicht betroffen.

      Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:

      log4j.appender.jms=org.apache.log4j.net.JMSAppender

      Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.

  • UT AppConnector

    Handlungsanweisung für UT AppConnector:
    • Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
      • Stoppen Sie den Tomcat
      • Ersetzen Sie jeweils in WEB-INF/lib  folgende Dateien durch die Dateien zu Version 2.17.0 im Download
        • log4j-api-2.8.0.jar
        • log4j-core-2.8.0.jar
        • log4j-web-2.8.0.jar
        • log4j-1.2-api-2.8.0.jar
      • Starten Sie den Tomcat neu

  • UT Integrator

    Handlungsanweisung für UT Integrator:
    • Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)

      • Stoppen Sie den Tomcat
      • Ersetzen Sie jeweils in [TOMCAT]webapps/utpostserver/web-inf/lib folgende Dateien durch die Dateien zu Version 2.17.0 im Download
        • log4j-api-2.x.x.jar
        • log4j-core-2.x.x.jar
        • log4j-web-2.x.x.jar
      • Starten Sie den Tomcat neu

    • Die log4j Libs sind auch in der SOE Datei des UT Integrator enthalten. Bezügliche eines Updates der SOE werden wir betroffene Kunden direkt kontaktieren. Wir empfehlen den Mapservice im ArcGIS Server mit der UT Integrator SOE durch Benutzer/Passwort zu schützen. Die Authentifizierung muss dann im UT Integrator entsprechend eingetragen sein:

      mceclip0.png

Hinweise zu Partnerprodukten:

  • Esri:
    Bezüglich der ArcGIS Basistechnologie empfiehlt VertiGIS den offiziellen Artikel seitens Esri Inc.:

    ArcGIS Software and CVE-2021-44228 (esri.com)

     

    Hinweis

    Dieser Artikel von Esri Inc. wird laufend aktualisiert und VertiGIS empfiehlt diesen Beitrag regelmäßig zu kontrollieren.


    ArcGIS 10.7.1 (Enterprise als auch Server standalone) und frühere Versionen sind potenziell gefährdet, und es laufen derzeit weitere Analysen bei Esri Inc., um die Angreifbarkeit zu ermitteln.

    Esri Inc. empfiehlt darüber hinaus nun „Out of an abundance of caution“ (aus reiner Vorsicht), dass auch auf aktuellen ArcGIS 10.8.1 Installationen gewisse Scripts durchlaufen sollten. Mehr Informationen dazu im ArcGIS Blog Beitrag.

    Kunden, die ArcGIS-Versionen einsetzen, die möglicherweise anfällig sind, wird dringend empfohlen, für alle Systeme, die mit dem Internet verbunden sind, oder für andere gefährdete Systeme sofort umfassende Abwehrmaßnahmen zu ergreifen. 
    Esri Inc. wird entsprechend so bald wie möglich entsprechende Patches für die betroffenen Versionen zur Verfügung stellen.

    Esri hat Log4Shell-Abschwächungsskripte erstellt, deren Anwendung auf alle Installationen von ArcGIS Enterprise und ArcGIS Server jeder Version der Software dringend empfohlen wird.

    Detaillierte Informationen:

Esri hat begonnen, Patches für die betroffenen Produkte bereitzustellen. Für weitere Produkte und Versionen folgt die Bereitstellung. Eine Übersicht über die bereits veröffentlichten und noch kommenden Patches finden sie hier:

https://support.esri.com/en/download/7964

Bitte kontrollieren Sie diesen Artikel regelmäßig auf Aktualisierungen. Bitte beachten Sie auch die weiterführenden Hinweise von Esri zu den Patches

ArcGIS Enterprise Log4j Security Patches Available

Aktualisierung 1: 13.12.2021:

  • Auflistung betroffener und nicht betroffener Produkte
  • Hinweise zu UT Bauauskunft, UT AppConnector und UT Integrator
  • Hinweise zu Partnerprodukten

Aktualisierung 2: 14.12.2021:

  • Link BSI aktualisiert

Aktualisierung 3: 14.12.2021:

  • Erweiterung Hinweise UT Bauauskunft

Aktualisierung 4: 15.12.2021:

  • Hinweise zu UT Bauauskunft, UT AppConnector und UT Integrator - Update auf 2.16
  • Hinweise zu Produkten von CADMAP

Aktualisierung 5: 16.12.2021:

  • Aktualisierung zu Esri

Aktualisierung 6: 17.12.2021:

  • Hinweise Plot/WMPS
  • Hinweise UT Bauauskunft URM
  • Aktualisierung der Hinweise UT Integrator

Aktualisierung 7: 21.12.2021:

  • Aktualisierung bzgl. CVE-2021-45105

Aktualisierung 8: 15.02.2022

  • Esri hat mit der Bereitstellung von Patches begonnen

Verwandte Beiträge

Kommentare

2 Kommentare

Datum Stimmen
  • Torsten Serfling

    Aktualisierung 7: 21.12.2021:

    • Aktualisierung bzgl. CVE-2021-45105
    0
  • Torsten Serfling

    Aktualisierung 8: 15.02.2022

    • Esri hat mit der Bereitstellung von Patches begonnen
    0

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.