Eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die als Log4Shell bezeichnet wird, führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer sehr kritischen Bedrohungslage.
Auch Produkte der VertiGIS (UT Bausauskunft, UT Integrator, ...) sind von der Schwachstelle in Log4j betroffen. VertiGIS arbeitet an einer Lösung des Problems und der kurzfristigen Bereitstellung von Sicherheitsupdates. Bis dahin empfehlen wir unseren Kunden, die durch das BSI empfohlenen Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die betroffenen Systeme angemessen überwachen zu können.
Inzwischen wurde mit CVE-2021-45105 eine weitere Schwachstelle zu Log4J veröffentlich. Diese ist von der bisherigen Thematik unabhängig und auch nicht so schwerwiegend. Dennoch wird empfohlen auf Log4J 2.17 zu aktualisieren, in dem dieses Problem gelöst ist. Wir haben daher den Einsatz von Log4J 2.17 mit unseren Produkten geprüft und keine Probleme festgestellt.
Bitte folgen Sie diesem Beitrag um über aktuelle Informationen informiert zu werden.
Nicht betroffene Produkte:
- UT Desktop Suite (UT Editor, UT Asset Manager, ...)
- UT Server Suite (aber ArcGIS Server als Basisprodukt siehe unten)
- UT WebApp
- Plot / WMPS
WMPS verwendet Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.
Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in WMPS standardmäßig nicht verwendet wird. WMPS ist daher von CVE-2021-4104 normalerweise nicht betroffen.
Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.
Betroffene Produkte:
- UT Bauauskunft
Handlungsanweisung für UT Bauauskunft:
- Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
-
-
- Stoppen Sie den Tomcat
- Ersetzen Sie jeweils in ...\BauAuskunftUrm\WEB-INF\lib und ...\BauAuskunftService\WEB-INF\lib folgende Dateien durch die Dateien zu Version 2.17.0 im Download
- log4j-api-2.11.0.jar
- log4j-core-2.11.0.jar
- log4j-web-2.11.0.jar
- Starten Sie den Tomcat neu
-
Das UT Bauauskunft URM verwendet Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.
Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in UT Bauauskunft URM standardmäßig nicht verwendet wird. UT Bauauskunft URM ist daher von CVE-2021-4104 normalerweise nicht betroffen.
Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.
-
- UT AppConnector
Handlungsanweisung für UT AppConnector:
- Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
-
-
- Stoppen Sie den Tomcat
- Ersetzen Sie jeweils in WEB-INF/lib folgende Dateien durch die Dateien zu Version 2.17.0 im Download
- log4j-api-2.8.0.jar
- log4j-core-2.8.0.jar
- log4j-web-2.8.0.jar
- log4j-1.2-api-2.8.0.jar
- Starten Sie den Tomcat neu
-
- UT Integrator
Handlungsanweisung für UT Integrator:
- Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
- Stoppen Sie den Tomcat
- Ersetzen Sie jeweils in [TOMCAT]webapps/utpostserver/web-inf/lib folgende Dateien durch die Dateien zu Version 2.17.0 im Download
- log4j-api-2.x.x.jar
- log4j-core-2.x.x.jar
- log4j-web-2.x.x.jar
- Starten Sie den Tomcat neu
- Die log4j Libs sind auch in der SOE Datei des UT Integrator enthalten. Bezügliche eines Updates der SOE werden wir betroffene Kunden direkt kontaktieren. Wir empfehlen den Mapservice im ArcGIS Server mit der UT Integrator SOE durch Benutzer/Passwort zu schützen. Die Authentifizierung muss dann im UT Integrator entsprechend eingetragen sein:
- Laden Sie die bereitgestellten Log4J Bibliotheken herunter (Log4J_2.17.0.zip)
Hinweise zu Partnerprodukten:
- Esri:
Bezüglich der ArcGIS Basistechnologie empfiehlt VertiGIS den offiziellen Artikel seitens Esri Inc.:ArcGIS Software and CVE-2021-44228 (esri.com)
Hinweis
Dieser Artikel von Esri Inc. wird laufend aktualisiert und VertiGIS empfiehlt diesen Beitrag regelmäßig zu kontrollieren.
ArcGIS 10.7.1 (Enterprise als auch Server standalone) und frühere Versionen sind potenziell gefährdet, und es laufen derzeit weitere Analysen bei Esri Inc., um die Angreifbarkeit zu ermitteln.Esri Inc. empfiehlt darüber hinaus nun „Out of an abundance of caution“ (aus reiner Vorsicht), dass auch auf aktuellen ArcGIS 10.8.1 Installationen gewisse Scripts durchlaufen sollten. Mehr Informationen dazu im ArcGIS Blog Beitrag.
Kunden, die ArcGIS-Versionen einsetzen, die möglicherweise anfällig sind, wird dringend empfohlen, für alle Systeme, die mit dem Internet verbunden sind, oder für andere gefährdete Systeme sofort umfassende Abwehrmaßnahmen zu ergreifen.
Esri Inc. wird entsprechend so bald wie möglich entsprechende Patches für die betroffenen Versionen zur Verfügung stellen.Esri hat Log4Shell-Abschwächungsskripte erstellt, deren Anwendung auf alle Installationen von ArcGIS Enterprise und ArcGIS Server jeder Version der Software dringend empfohlen wird.
Detaillierte Informationen:
- ArcGIS Server – Enthält auch eine Entschärfung für ArcGIS GeoEvent Server
- Portal for ArcGIS
- ArcGIS Data Store
Esri hat begonnen, Patches für die betroffenen Produkte bereitzustellen. Für weitere Produkte und Versionen folgt die Bereitstellung. Eine Übersicht über die bereits veröffentlichten und noch kommenden Patches finden sie hier:
https://support.esri.com/en/download/7964
Bitte kontrollieren Sie diesen Artikel regelmäßig auf Aktualisierungen. Bitte beachten Sie auch die weiterführenden Hinweise von Esri zu den Patches
ArcGIS Enterprise Log4j Security Patches Available
- Baral
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) im Kontext der Produkte von Baral - CADMAP
Allgemeine Informationen
Kundenbereich
Aktualisierung 1: 13.12.2021:
- Auflistung betroffener und nicht betroffener Produkte
- Hinweise zu UT Bauauskunft, UT AppConnector und UT Integrator
- Hinweise zu Partnerprodukten
Aktualisierung 2: 14.12.2021:
- Link BSI aktualisiert
Aktualisierung 3: 14.12.2021:
- Erweiterung Hinweise UT Bauauskunft
Aktualisierung 4: 15.12.2021:
- Hinweise zu UT Bauauskunft, UT AppConnector und UT Integrator - Update auf 2.16
- Hinweise zu Produkten von CADMAP
Aktualisierung 5: 16.12.2021:
- Aktualisierung zu Esri
Aktualisierung 6: 17.12.2021:
- Hinweise Plot/WMPS
- Hinweise UT Bauauskunft URM
- Aktualisierung der Hinweise UT Integrator
Aktualisierung 7: 21.12.2021:
- Aktualisierung bzgl. CVE-2021-45105
Aktualisierung 8: 15.02.2022
- Esri hat mit der Bereitstellung von Patches begonnen
Kommentare
2 Kommentare
Aktualisierung 7: 21.12.2021:
Aktualisierung 8: 15.02.2022
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.