August 30, 2022

CVE-2021-45105 Mehrere eptos™ Releases – Sicherheitshinweis – Apache Log4j2 <=2.17 schützte nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups.

by ParWebAcc-1 in eptos™.

Übersicht

Die Apache Log4j2-Versionen 2.0-alpha1 bis 2.16.0 (außer 2.12.3) schützten nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups. Dies erlaubt einem Angreifer mit Kontrolle über Thread Context Map Daten einen Denial of Service zu verursachen, wenn eine manipulierte Zeichenkette interpretiert wird. Dieses Problem wurde in Log4j 2.17.0 und 2.12.3 behoben.

Zusammenfassung

CVE-2021-45105 – Apache Log4j2 <=2.17 nicht von unkontrollierten Rekursion von selbst-referentielle Lookups zu schützen.

Log4j 1.x ist von dieser Sicherheitslücke nicht betroffen.

Bulletin aktualisieren bis 22.12.2021 15:00
Beratung Freigabedatum 21. Dezember 2021
Basis-CVSS-Score 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Produkte
  • alle Eptos-Module
  • eptos SearchEngine
Betroffene Releases eptos-Module – 6.1

eptos Search Engine 2.0 – 2.1 nur, wenn die Protokollierung von Api’s eingeschaltet ist (Standard aus).
Behobene Releases
  • eptos 6.1.1
  • Suchmaschine 2.1.1
CVE-ID CVE-2021-45105
Ausgabe-ID

BASE-1396Sicherheitsanfälligkeit Log4Shell: CVE-2021-45105 BEHOBEN
Weitere Informationen https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Zusammenfassung der Anfälligkeit

eptos core verwendet Log4j2 2.16 ab Release 6.1 und nach der Behebung von CVE-2021-44228 Mehrere eptos-Releases Sicherheitshinweis – Apache Log4j2 nicht gegen von Angreifern kontrollierte LDAP- und andere JNDI-bezogene Endpunkte geschützt

eptos APIs verwenden spring-boot, das eine Abhängigkeit zu log4j-api hat, aber standardmäßig ist der log4j2-Teil nicht aktiviert(Referenz) – beginnend mit Release 6.0, daher gibt es keine unmittelbaren Auswirkungen.

Software-Fixes

  • eptos 6.0.1 wurde auf die unangetastete Version 2.17.0 von Log4j2 aktualisiert
  • eptos 6.1.1 aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos E-Mail-Kollektor 6.1.1 (neueste Version, 2021) aktualisiert auf die nicht betroffene Version 2.17.0 von Log4j2
  • eptos Search Engine 2.1.1, wird auf die neueste Version 2.17.0 von Log4j2 aktualisiert

Was Sie tun müssen

  • Paradine empfiehlt ein Upgrade auf die neueste Long Term Support Version eptos 6.1.1.
  • Paradine empfiehlt, dass Sie auf die neueste Long Term Support Version Search Engine 2.1.1 aktualisieren.
  • Bitte wenden Sie sich an Ihren Solution Manager

Milderung

Zur Schadensbegrenzung können Sie

  • Prüfen Sie, ob bei den APIs die Protokollierung eingeschaltet ist.

Unterstützung

  • Wenn Sie Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich an support@paradine,at und fügen Sie CVE-2021-45105 zu Ihrer Problembeschreibung hinzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert