Bitte beachten Sie folgende Sicherheitsmitteilungen. Diese gilt für ganz spezielle Einsatzszenarien der Produkte security.manager Enterprise Edition und map.apps SDI.
Bitte benachrichtigen Sie bei Notwendigkeit Ihre Kunden, und leiten Sie dies Informationen hausintern an Ihre Kollegen und Kolleginnen weiter, welche bei Ihnen vertrieblich, in Projekten oder im Support mit diesen Produkten arbeiten.
Für security,manager Enterprise Edition:
Wir sind aktuell von zwei Sicherheitsproblemen [1][2] in einer genutzten Drittbibliothek betroffen. Diese können dazu führen, dass Angreifer die Datenbank korrumpieren bzw. fremden Code ausführen können. Betroffen hiervon ist der Logging-Interceptor des security.managers [3]. Dieser ist in der Standardauslieferung inaktiv - es sind also nur Systeme angreifbar, bei denen der Logging-Interceptor nach der Installation aktiviert worden ist und eine bestimmte Konfiguration aufweist.
Der Logging-Interceptor ist dann aktiv, wenn er in einer der XML-Dateien im Verzeichnis /webapp/wss/WEB-INF/classes nicht wie im folgendem Beispiel auskommentiert ist:
<!--
<Interceptor class="de.conterra.suite.security.interceptor.logging.LoggingInterceptor">
<Property name="inputLoggerChainList">
<List>
<Entry>
…
</Interceptor>
-->
Sollten Sie dabei feststellen, dass der Logging-Interceptor bei Ihnen aktiv ist, stellen Sie bitte sicher, dass in der Datei log4j.xml im o. g. Verzeichnis als Appender nicht einer der folgenden von den Sicherheitsproblemen betroffenen Appender verwendet wird:
- JDBCAppender
- JMSAppender
In diesem Fall verwenden Sie bitten einen anderen Appender, beispielsweise den DailyRollingFileAppender. Bitte starten Sie den Tomcat Server neu, nachdem Sie Änderungen an der Logging-Konfiguration vorgenommen haben.
Wird hier ausschließlich ein File Appender verwendet, so ist dieser von den genannten Sicherheitsproblemen nicht betroffen.
Wird der Logging-Interceptor nicht verwendet, sollte die von den Sicherheitsproblemen betroffene Bibliothek aus der Installation entfernt werden. Löschen Sie dazu die Datei log4j-1.2.17.jar aus dem Verzeichnis webapp/wss/WEB-INF/classes/access-log-lib.
[1] https://nvd.nist.gov/vuln/detail/CVE-2022-23305
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-4104
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Für map.apps SDI:
Wir sind aktuell von zwei Sicherheitsproblemen [1][2] in einer genutzten Drittbibliothek betroffen. Diese können dazu führen, dass Angreifer die Datenbank korrumpieren bzw. fremden Code ausführen können. Betroffen hiervon sind map.apps SDI Installationen in Version 4.x, bei denen die Logging-Konfiguration angepasst wurde und nicht der Standardauslieferung entspricht. Die Konfigurationsdatei log4j.xml befindet sich im Verzeichnis /ct-sdi-extension-services-webapp-[VERSION]/WEB-INF/classes. Bitte kontrollieren Sie diese auf etwaige Anpassungen.
In der Standardauslieferung sollten lediglich folgende, unkritische, Appender aktiv sein:
- ConsoleAppender
- DailyRollingFileAppender
Sollten Sie feststellen, dass darüber hinaus weitere Appender in der Datei enthalten sind, löschen Sie diese bitte umgehend. Insbesondere folgende Appender sind von der Sicherheitslücke betroffen:
- JDBCAppender
- JMSAppender
Bitte starten Sie den Tomcat Server neu, nachdem Sie Änderungen an der Logging-Konfiguration vorgenommen haben.
Werden ausschließlich ConsoleAppender und DailyRollingFileAppender verwendet, so sind diese von den genannten Sicherheitsproblemen nicht betroffen.
map.apps SDI Version 5.x ist nicht von dem o.g. Problemen betroffen.
Wir werden in Kürze ein aktualisiertes Release von map.apps SDI 4.x im Downloadportal zur Verfügung stellen, welches die genannten Sicherheitsprobleme behebt.
[1] https://nvd.nist.gov/vuln/detail/CVE-2019-17571
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-4104
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.