{"id":6276,"date":"2022-08-30T09:33:40","date_gmt":"2022-08-30T07:33:40","guid":{"rendered":"https:\/\/www.paradine.at\/unkategorisiert\/cve-2021-44228-mehrere-eptos-releases-security-advisory-apache-log4j2-nicht-gegen-angreifer-kontrolliert-ldap-und-andere-jndi-bezogenen-endpunkte-geschuetzt-zum-ende-der-metadaten-ueberspringen\/"},"modified":"2022-08-30T09:33:42","modified_gmt":"2022-08-30T07:33:42","slug":"cve-2021-44228-mehrere-eptos-releases-security-advisory-apache-log4j2-nicht-gegen-angreifer-kontrolliert-ldap-und-andere-jndi-bezogenen-endpunkte-geschuetzt-zum-ende-der-metadaten-ueberspringen","status":"publish","type":"post","link":"https:\/\/www.paradine.at\/de\/eptos-de\/cve-2021-44228-mehrere-eptos-releases-security-advisory-apache-log4j2-nicht-gegen-angreifer-kontrolliert-ldap-und-andere-jndi-bezogenen-endpunkte-geschuetzt-zum-ende-der-metadaten-ueberspringen\/","title":{"rendered":"CVE-2021-44228 Mehrere eptos Releases Security Advisory – Apache Log4j2 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte gesch\u00fctzt Zum Ende der Metadaten \u00fcberspringen"},"content":{"rendered":"

[vc_row][vc_column width=”3\/4″][vc_column_text]<\/p>\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n\n\n
Zusammenfassung<\/th>\n\n
\n

CVE-2021-44228 – Apache Log4j2 <=2.14.1 nicht gegen Angreifer kontrolliert LDAP und andere JNDI-bezogenen Endpunkte gesch\u00fctzt<\/p>\n

\n
\n

Bulletin aktualisieren bis 17.12.2021 15:00<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/td>\n<\/tr>\n

Beratung Freigabedatum<\/th>\n9. Dezember 2021<\/td>\n<\/tr>\n
Produkte<\/th>\n\n
\n
    \n
  • alle Eptos-Module<\/li>\n
  • eptos SearchEngine<\/li>\n<\/ul>\n<\/div>\n<\/td>\n<\/tr>\n
Betroffene Releases<\/th>\neptos-Module – alle Versionen 5.3 – 6.1<\/p>\n

eptos Suchmaschine 2.0 – 2.1<\/td>\n<\/tr>\n

Behobene Releases<\/th>\n\n
    \n
  • eptos 6.1.1<\/li>\n
  • Suchmaschine 2.1.1<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n
CVE-ID<\/th>\nCVE-2021-44228<\/a>, CVE-2021-45046<\/a><\/td>\n<\/tr>\n
Ausgabe-ID<\/th>\n\n
\n

BASE-1388<\/a> – Sicherheitsanf\u00e4lligkeit Log4Shell: Entfernte Codeausf\u00fchrung auf log4j2 – CVE-2021-44228<\/span> RESOLVED<\/span><\/span> BASE-1393<\/a> – Sicherheitsanf\u00e4lligkeit Fehler CVE-2021-44228 in Apache Log4j 2.15.0<\/span> OPEN<\/span><\/span><\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Weitere Informationen<\/th>\nhttps:\/\/github.com\/advisories\/GHSA-jfh8-c2jp-5v3q<\/a><\/p>\n

https:\/\/blog.cloudflare.com\/inside-the-log4j2-vulnerability-cve-2021-44228\/<\/a><\/p>\n

https:\/\/www.wired.com\/story\/log4j-flaw-hacking-internet\/<\/a><\/p>\n

https:\/\/spring.io\/blog\/2021\/12\/10\/log4j2-vulnerability-and-spring-boot<\/a><\/p>\n

https:\/\/blog.malwarebytes.com\/exploits-and-vulnerabilities\/2021\/12\/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend\/<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

[\/vc_column_text][\/vc_column][vc_column width=”1\/4″][vc_column_text]<\/p>\n

\u00dcbersicht<\/h2>\n

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, sch\u00fctzen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.<\/p>\n

Ein Angreifer, der die Kontrolle \u00fcber die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausf\u00fchren, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung f\u00fcr Nachrichten aktiviert ist.<\/p>\n

Ab log4j 2.15.0 ist dieses Verhalten standardm\u00e4\u00dfig deaktiviert. In fr\u00fcheren Versionen (>2.10) kann dieses Verhalten durch Setzen der Systemeigenschaft “log4j2.formatMsgNoLookups” auf “true” abgeschw\u00e4cht werden.[\/vc_column_text][\/vc_column][\/vc_row][vc_row][vc_column][vc_column_text]<\/p>\n

Zusammenfassung der Anf\u00e4lligkeit<\/h2>\n

Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in der Konfiguration, den Protokollnachrichten und den Parametern verwendet werden, sch\u00fctzen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten.<\/p>\n

Ein Angreifer, der die Kontrolle \u00fcber die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausf\u00fchren, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung f\u00fcr Nachrichten aktiviert ist.<\/p>\n

Ab log4j 2.15.0 ist dieses Verhalten standardm\u00e4\u00dfig deaktiviert<\/p>\n

Der eptos-Kern verwendet ab Release 6.1 Log4j2 2.14 mit den entsprechenden Auswirkungen.<\/p>\n

eptos APIs verwenden spring-boot, das eine Abh\u00e4ngigkeit zu log4j-api 2.13 hat, aber standardm\u00e4\u00dfig ist der log4j2-Teil nicht aktiviert(Referenz<\/a>) – ab Release 6.0<\/p>\n

Da eptos keine JNDI-Lookups verwendet, empfiehlt Paradine, JNDI-Lookups mit den Startparametern -Dlog4j2.formatMsgNoLookups=true zu deaktivieren.<\/p>\n

Die Deaktivierung des JNDI-Lookups ist eine Vorsichtsma\u00dfnahme, um zu vermeiden, dass Bibliotheken von Drittanbietern Log4j2 einbeziehen.<\/p>\n

Software-Fixes<\/h2>\n