Bitte beachten Sie folgende Hinweise beim Umgang mit Log4j
Kritische Sicherheitslücke in der Java-Bibliothek Log4j
Am Freitag den 10.12.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine kritische Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j. Log4j dient der Protokollierung von Anwendungsmeldungen und wird als De-Facto-Standard in zahlreichen Anwendungen verwendet, auch in Produkten von oxaion. Neben dem JET-/Crossfeed-Client wird Log4j in der betroffenen Version auch in oxaion open und der HTTP-Schnittstelle verwendet.
Bereits am Freitag wurden alle Vorkommen analysiert. Log4j wird nicht verwendet, um HTTP-Requests zu protokollieren. Damit ist es nach unserer Ansicht ausgeschlossen, dass an unsere Dienste kompromittierte Requests gesendet werden können, die durch die Log4j Lücke das System verwundbar machen.
Natürlich werden wir Sie erneut und unverzüglich informieren, wenn es eine Änderung an dieser Einschätzung gibt.
Weitere Informationen finden Sie auch hier:
Bundesamt für Sicherheit in der Informationstechnik
oxaion Business Solution - Alle Versionen
Nicht betroffen
Falls Sie Webmodule wie oxaion Web einsetzen beachten Sie bitte zusätzlich die Hinweise weiter unten.
oxaion open - Versionen bis 5.0
Nicht betroffen
Falls Sie Webmodule wie oxaion Web einsetzen beachten Sie bitte zusätzlich die Hinweise weiter unten.
oxaion open - Versionen 5.1 und 2021
Die Versionen sind bis zu einem Update betroffen. Über eine Einstellung in der Konfiguration der Protokollierung „-Dlog4j2.formatMsgNoLookups=true“ kann die kritische Sicherheitslücke CVE-2021-44228 ausgeschlossen werden.
Dieser Eintrag wird in der wrapper.conf zusätzlich zu anderen Java-Parametern gesetzt. Die Datei finden Sie im Installationsverzeichnis.
Für 5.1 => Installationsverzeichnis → bin\wrapper\yajsw-stable-12.14\conf
Für 2021 => Installationsverzeichnis → bin\conf
Beispieleintrag:
Beim Eintragen des Parameters muss darauf geachtet werden dass die fortlaufende Nummer genommen wird. Zusätzlich muss der Dienst einmalig von Hand neu gestartet werden so dass der Parameter auch aktiviert wird.
Ab dem Dezember-Patch der Anfang Januar zur Verfügung steht wird eine aktuellere Version ohne diese Sicherheitslücke verwendet.
oxaion Web - Apache Tomcat
Zuerst kann geprüft werden ob das Projekt Log4j nutzt. Dies kann über die normale File-Suche erfolgen. Hier als Suchstring "log4j2" eingeben.
Wird die Datei gefunden kann in den Tomcat Startoptionen der Parameter eingefügt werden. Dazu die Tomcat9w.exe doppelklicken und unter dem Reiter "Java" die Java Options pflegen.
oxaion HTTP-Schnittstelle
Keine Aktion erforderlich. Die in 5.1 mit ausgelieferte Log4j Variante wird nicht von oxaion Code verwendet, sondern nur von einer Fremdbibliothek.
oxaion Portal Connect
Wird Portal Connect verwendet kann auch hier der Parameter in der wrapper.conf gesetzt und danach der Dienst neu gestartet werden.
Zu finden ist die wrapper.conf Datei in der Regel unter => Installationsverzeichnis → yajsw-stable-12.14\conf
oxaion IDE
Keine Aktion erforderlich.
oxaion Clients
Keine Aktion erforderlich.
Zusätzliche Schritte
Zusätzliche zur Aufnahme des Startparameters kann noch das Entfernen einer Java-Klasse aus der verwendeten log4j2.jar vorgenommen werden. Bei oxaion open ist das keine Lösung. Da die Bibliotheken ggf. zurückgesetzt werden. Das wäre eine zusätzliche Sicherheitsempfehlung beim Einsatz des Apache Tomcats.
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class