Eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die als Log4Shell bezeichnet wird, führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer sehr kritischen Bedrohungslage.
Auch Produkte der VertiGIS (bspw. 3A Web) sind von der Schwachstelle in Log4j betroffen. VertiGIS arbeitet an einer Lösung des Problems und der kurzfristigen Bereitstellung von Sicherheitsupdates. Bis dahin empfehlen wir unseren Kunden, die durch das BSI empfohlenen Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die betroffenen Systeme angemessen überwachen zu können.
Inzwischen wurde mit CVE-2021-45105 eine weitere Schwachstelle zu Log4J veröffentlich. Diese ist von der bisherigen Thematik unabhängig und auch nicht so schwerwiegend. Dennoch wird empfohlen auf Log4J 2.17 zu aktualisieren, in dem dieses Problem gelöst ist. Wir haben daher den Einsatz von Log4J 2.17 mit unseren Produkten geprüft und keine Probleme festgestellt.
Bitte folgen Sie diesem Beitrag um über aktuelle Informationen informiert zu werden.
Nicht betroffene Produkte:
- 3A / LM Editor
- Plot / WMPS
WMPS verwendet Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.
Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in WMPS standardmäßig nicht verwendet wird. WMPS ist daher von CVE-2021-4104 normalerweise nicht betroffen.
Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.
- 3A / LM Server
- FDS / 3A Konverter / 3A Spatial Manager (aber FME als verwendete Komponente siehe unten)
Betroffene Produkte
- Laden Sie die bereitgestellten Log4J Bibliotheken herunter (log4J_2.17.0.zip)
- 3A Web (Version >= 6.5.0.0)
- GIS Portal
- WebOrderSystem (WOS)
- 3A Web ALKIS Auskunft
- 3A Web AFIS
- 3A Web ALKIS Reservierung
- 3A Web ARCHIV
- 3A Web ANTRAG
- 3A Web BORIS
- Web STATISTIKEN
Handlungsanweisung for 3A Web
Inzwischen ist eine neue Version 2.16 von Log4J veröffentlicht, die wir intern erfolgreich getestet haben. Daher aktualisieren wir die Handlungsanweisung. - Stoppen Sie den Apache Tomcat.
- Wechseln Sie in einem Datei Explorer in das Verzeichnis „webapps“ Ihrer Tomcat-Installation. In diesem Verzeichnis finden Sie die installierten Web-Anwendungen als Unterverzeichnisse. Für die nächsten Schritte sind folgende Verzeichnisse relevant:
- AAAWebAntragAVService
- AAAWebAntragService
- AAAWebArchivService
- AAAWebBorisService
- AAAWebDeliveryService
- AAAWebReservationService
- AAAWebService
- AAAWebStatisticClient
- AAAWebStatisticService
- AAAWebWMS
- ASmobile
- ASWeb
- ASWebURM
- CustomerAdministration_<Mandant>
- OrderAdministration_<Mandant>
- OrderService_<Mandant>
- WOSConnector3AServer_<Mandant>
- WOSConnectorFILEServer_<Mandant>
- WOSConnectorFTPServer_<Mandant>
- WOSConnectorIPDHKServer_<Mandant>
- WOSConnectorSemiautomatic_<Mandant>
- Führen Sie für alle oben genannten Unterverzeichnisse, sofern sie sich in Ihrem webapps-Verzeichnis befinden, die folgenden Schritte durch:
- Wechseln Sie in das Verzeichnis und dort in das Unterverzeichnis „WEB-INF\lib“.
- Ersetzen Sie dort die folgenden Dateien – falls vorhanden – durch die entsprechenden mitgelieferten Dateien, indem Sie die vorhandenen Dateien löschen und die neuen Dateien in das Verzeichnis kopieren:
- log4j-core-2.XX.XX.jar durch log4j-core-2.17.0.jar
- log4j-api-2. XX.XX.jar durch log4j-api-2.17.0.jar
- log4j-web-2.XX.XX.jar durch log4j-web-2.17.0.jar
- log4j-1.2-api-2.XX.XX..jar durch log4j-1.2-api-2.17.0.jar
- Starten Sie den Apache Tomcat neu.
- NBA Nachverarbeitung
- Grundsätzlich ist die Gefahr bei der NBA-Nachverarbeitung sehr gering, da diese ja nicht von außen angesteuert wird. Zur Sicherheit können aber auch hier die log4j-Dateien ausgetauscht werden.
- Log4j-Bibliotheken in der NBA Nachverarbeitung unterhalb des Verzeichnisses <laufwerk>\AED-SICAD\3A\NBANachverarbeitung\lib
- In der NBA-Nachverarbeitung gibt es jedoch eine Besonderheit: In den Namen der Jar-Dateien fehlt die Versionsnummer und die Dateien werden in den Skripten direkt über den Namen referenziert. Daher muss in den neuen Jar-Dateien, die in das Verzeichnis kopiert werden, auch die Versionsnummer entfernt werden, so dass die neuen Dateien genauso wie die alten heißen.
- 3A Web (Version <= 6.4.x.x)
Die 3A Web-Produkte bis Version 6.4 verwenden Log4J 1.2. Diese Version ist nicht direkt von CVE-2021-44228 betroffen.
Allerdings existiert für Log4J 1.2 die ähnliche Sicherheitslücke CVE-2021-4104, welche jedoch nur bei einer bestimmten Konfiguration zu Tage tritt, die in 3A Web standardmäßig nicht verwendet wird. Die 3A Web-Produkte sind daher von CVE-2021-4104 normalerweise nicht betroffen.
Um dies sicherzustellen, empfehlen wir die Untersuchung der Konfigurationsdatei log4j.properties, welche die folgende Zeichenkette nicht enthalten darf:
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Sollte diese Zeichenkette dennoch enthalten sein, empfehlen wir ihre Entfernung und einen Neustart des Apache Tomcat.
Hinweise zu Partnerprodukten:
- Esri:
Bezüglich der ArcGIS Basistechnologie empfiehlt VertiGIS den offiziellen Artikel seitens Esri Inc.:ArcGIS Software and CVE-2021-44228 (esri.com)
Hinweis
Dieser Artikel von Esri Inc. wird laufend aktualisiert und VertiGIS empfiehlt diesen Beitrag regelmäßig zu kontrollieren.
Esri Inc. empfiehlt darüber hinaus nun „Out of an abundance of caution“ (aus reiner Vorsicht), dass auch auf aktuellen ArcGIS 10.8.1 Installationen gewisse Scripts durchlaufen sollten. Mehr Informationen dazu im ArcGIS Blog Beitrag.
ArcGIS 10.7.1 (Enterprise als auch Server standalone) und frühere Versionen sind potenziell gefährdet, und es laufen derzeit weitere Analysen bei Esri Inc., um die Angreifbarkeit zu ermitteln.Kunden, die ArcGIS-Versionen einsetzen, die möglicherweise anfällig sind, wird dringend empfohlen, für alle Systeme, die mit dem Internet verbunden sind, oder für andere gefährdete Systeme sofort umfassende Abwehrmaßnahmen zu ergreifen.
Esri Inc. wird entsprechend so bald wie möglich entsprechende Patches für die betroffenen Versionen zur Verfügung stellen.Esri hat Log4Shell-Abschwächungsskripte erstellt, deren Anwendung auf alle Installationen von ArcGIS Enterprise und ArcGIS Server jeder Version der Software dringend empfohlen wird.
Detaillierte Informationen:
- ArcGIS Server – Enthält auch eine Entschärfung für ArcGIS GeoEvent Server
- Portal for ArcGIS
- ArcGIS Data Store
Esri hat begonnen, Patches für die betroffenen Produkte bereitzustellen. Für weitere Produkte und Versionen folgt die Bereitstellung. Eine Übersicht über die bereits veröffentlichten und noch kommenden Patches finden sie hier:
https://support.esri.com/en/download/7964
Bitte kontrollieren Sie diesen Artikel regelmäßig auf Aktualisierungen. Bitte beachten Sie auch die weiterführenden Hinweise von Esri zu den Patches
ArcGIS Enterprise Log4j Security Patches Available
- Baral
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) im Kontext der Produkte von Baral - con terra
Aktualisierung 1: 13.12.2021:
- Auflistung betroffener und nicht betroffener Produkte
- Hinweise zu Partnerprodukten
Aktualisierung 2: 14.12.2021:
- Aktualisierung Link BSI
- Betroffenheit 3A / LM Server
Aktualisierung 3: 14.12.2021:
- Hinweise zu 3A Web
Aktualisierung 4: 15.12.2021:
- Hinweise zu 3A Web - Update Log4J 2.16
- Betroffenheit FDS / 3A Konverter / 3A Spatial Manager
- FME
Aktualisierung 5: 16.12.2021:
- Aktualisierung zu Esri
Aktualisierung 6: 17.12.2021:
- Hinweise Plot/WMPS
- Hinweise 3A Web 6.4
Aktualisierung 7: 21.12.2021:
- Aktualisierung bezüglich CVE-2021-45105
- Hinweise zur NBA Nachverarbeitung
Aktualisierung 8: 15.02.2022
- Esri hat mit der Bereitstellung von Patches begonnen
Kommentare
2 Kommentare
Aktualisierung 7: 21.12.2021:
Aktualisierung 8: 15.02.2022
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.