Category: eptos™.

CVE-2021-44228 Mehrere eptos Releases Security Advisory – Apache Log4j2 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt Zum Ende der Metadaten überspringen

Zusammenfassung

CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt

Bulletin aktualisieren bis 17.12.2021 15:00
Beratung Freigabedatum 9. Dezember 2021
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – alle Versionen 5.3 – 6.1

eptos Suchmaschine 2.0 – 2.1
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-44228, CVE-2021-45046
Ausgabe-ID

BASE-1388Sicherheitsanfälligkeit Log4Shell: Entfernte Codeausführung auf log4j2 – CVE-2021-44228 RESOLVED BASE-1393Sicherheitsanfälligkeit Fehler CVE-2021-44228 in Apache Log4j 2.15.0 OPEN
Weitere Informationen https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

https://www.wired.com/story/log4j-flaw-hacking-internet/

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/12/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend/

Übersicht

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschwächt werden.

Zusammenfassung der Anfälligkeit

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert

Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api 2.13 hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – ab Release 6.0

Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.

Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsmaßnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.15.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.15.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Ändern Sie die Startparameter der betroffenen Programme, indem Sie -Dlog4j2.formatMsgNoLookups=true an der Stelle hinzufügen, an der die JVM-Argumente definiert sind (z. B. in der eptos-config-Map oder unter deployment für den Pod selbst)
  • das System neu starten
  • bei Mikrodiensten besteht die nachhaltige Art der Behebung darin, neue Versionen von API-Containern zu installieren

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-44228 oder CVE-2021-45046 zu Ihrer Problembeschreibung hinzu.

CVE-2021-45105 Mehrere eptos™ Releases – Sicherheitshinweis – Apache Log4j2 <=2.17 schützte nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups.

Übersicht

Die Apache Log4j2-Versionen 2.0-alpha1 bis 2.16.0 (außer 2.12.3) schützten nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups. Dies erlaubt einem Angreifer mit Kontrolle über Thread Context Map Daten einen Denial of Service zu verursachen, wenn eine manipulierte Zeichenkette interpretiert wird. Dieses Problem wurde in Log4j 2.17.0 und 2.12.3 behoben.

Zusammenfassung

CVE-2021-45105 – Apache Log4j2 <=2.17 nicht von unkontrollierten Rekursion von selbst-referentielle Lookups zu schützen.

Log4j 1.x ist von dieser Sicherheitslücke nicht betroffen.

Bulletin aktualisieren bis 22.12.2021 15:00
Beratung Freigabedatum 21. Dezember 2021
Basis-CVSS-Score 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – 6.1

eptos Search Engine 2.0 – 2.1 nur, wenn die Protokollierung von Api’s eingeschaltet ist (Standard aus).
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-45105
Ausgabe-ID

BASE-1396Sicherheitsanfälligkeit Log4Shell: CVE-2021-45105 BEHOBEN
Weitere Informationen https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Zusammenfassung der Anfälligkeit

eptos core verwendet Log4j2 2.16 ab Release 6.1 und nach der Behebung von CVE-2021-44228 Mehrere eptos-Releases Sicherheitshinweis – Apache Log4j2 nicht gegen von Angreifern kontrollierte LDAP- und andere JNDI-bezogene Endpunkte geschützt

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – beginnend mit Release 6.0, daher gibt es keine unmittelbaren Auswirkungen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.17.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.17.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Prüfen Sie, ob bei den APIs die Protokollierung eingeschaltet ist.

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-45105 zu Ihrer Problembeschreibung hinzu.