August 30, 2022

CVE-2021-44228 Mehrere eptos Releases Security Advisory – Apache Log4j2 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt Zum Ende der Metadaten überspringen

by ParWebAcc-1 in eptos™.
Zusammenfassung

CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte geschützt

Bulletin aktualisieren bis 17.12.2021 15:00

Beratung Freigabedatum 9. Dezember 2021
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – alle Versionen 5.3 – 6.1

eptos Suchmaschine 2.0 – 2.1

Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-44228, CVE-2021-45046
Ausgabe-ID

BASE-1388Sicherheitsanfälligkeit Log4Shell: Entfernte Codeausführung auf log4j2 – CVE-2021-44228 RESOLVED BASE-1393Sicherheitsanfälligkeit Fehler CVE-2021-44228 in Apache Log4j 2.15.0 OPEN

Weitere Informationen https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

https://www.wired.com/story/log4j-flaw-hacking-internet/

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/12/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend/

Übersicht

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert. In früheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschwächt werden.

Zusammenfassung der Anfälligkeit

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, schützen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.

Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung für Nachrichten aktiviert ist.

Ab log4j 2.15.0 ist dieses Verhalten standardmäßig deaktiviert

Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api 2.13 hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – ab Release 6.0

Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.

Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsmaßnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.15.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.15.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.15.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Ändern Sie die Startparameter der betroffenen Programme, indem Sie -Dlog4j2.formatMsgNoLookups=true an der Stelle hinzufügen, an der die JVM-Argumente definiert sind (z. B. in der eptos-config-Map oder unter deployment für den Pod selbst)
  • das System neu starten
  • bei Mikrodiensten besteht die nachhaltige Art der Behebung darin, neue Versionen von API-Containern zu installieren

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-44228 oder CVE-2021-45046 zu Ihrer Problembeschreibung hinzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert