CVE-2021-44228 – Sicherheitslücke in Log4j (Log4Shell)

Auf verschiedenen Portalen wurde über eine kritische Zero-Day-Lücke in Log4j unter dem Namen Log4Shell berichtet. Die offiziellen Meldungen dazu sind den originalen Quellen zu entnehmen:

Durch die Sicherheitslücke verwundbar sind die Log4j Versionen 2.0-beta9 bis 2.14.1. Zusätzlich wird darauf verwiesen, dass alle Applikationen, die mindestens Java 8 U121 mit den Standardeinstellungen verwenden, selbst bei verwundbarer Log4j Version nicht kompromittierbar sind, da hier die Standardeinstellungen

com.sun.jndi.rmi.object.trustURLCodebase false
com.sun.jndi.cosnaming.object.trustURLCodebase false

die Ausführung von Code eines fremden Systems (Remote Code Execution)  verhindern. Weitere Informationen dazu sind in den Java – Release Notes zu finden: https://www.oracle.com/java/technologies/javase/8u121-relnotes.html.

Nach derzeitigem Kenntnisstand ist die Sicherheitslücke demnach nur ausnutzbar, wenn alle der folgenden Bedingungen zutreffend sind:

  • Es muss eine Java- basierte Applikation einen Dienst präsentieren, der (auch indirekt) kompromittierende Anfragen entgegen nimmt und diese Anfragen unter Nutzung von Log4j protokolliert.
  • Die Java Version muss älter als die Versionen Java 6 U211, Java 7 U201 oder Java 8 U191 sein oder die standardmäßigen Einstellungen zur Verhinderung der Ausführung von nachgeladenem Code aus externen Quellen müssen deaktiviert sein.
  • Es ist Log4j in Versionen 2.0-beta9 bis 2.14.1 im Einsatz.

Falls es nicht ohne weiters möglich ist, die aktuelle Log4j Version 2.15.x zu verwenden, so kann die verwundbare Funktion mittels Konfigurationsparameter log4j2.formatMsgNoLookups=true deaktiviert werden.

Applikationen

Zimbra Collaboration Suite

Laut der vom Softwarehersteller Zimbra veröffentlichten Mitteilung, verwenden die aktuellen Versionen der Zimbra Collaboration Suite die Komponente Log4j in der Version 1.2.16 und sind somit nicht für Angriffe  unter Ausnutzung dieser Sicherheitslücke anfällig.

Update (15.12.2021):

0-day Exploit Vulnerability for log4j (CVE-2021-44228)
After intensive review and testing, Zimbra Development determined that the 0-day exploit vulnerability for log4j (CVE-2021-44228) does not affect the current Supported Zimbra versions (9.0.0 & 8.8.15). Zimbra Collaboration Server currently uses log4j1 version 1.2.16 which doesn’t contain the lookup expression feature that is found within versions 2.0 to 2.17, which is the cause of the vulnerability. Also, Redhat (CVE-2021-4104) vulnerability does not affect the Zimbra Collaboration Server version (8.8.15 & 9.0.0). For this vulnerability to affect the server, it needs JMSAppender, which the ZCS Server does not use, and the ability to append configuration files.

Quellen:
https://support.zimbra.com
https://wiki.zimbra.com/wiki/Security_Center

VMware vSphere

VMware fasst in einem eigenen Artikel alle nötigen Informationen sowie Links zu den relevanten Sicherheitshinweisen zusammen:

Quelle: https://blogs.vmware.com/vsphere/2021/12/vmsa-2021-0028-log4j-what-you-need-to-know.html.

VMware Cloud Director

VMware Cloud Director ist laut der Übersicht unter https://www.vmware.com/security/advisories/VMSA-2021-0028.html nicht von dieser Sicherheitslücke betroffen. Eine offizielle Bestätigung seitens VMware steht hier noch aus.

Apache SOLR

Für Apache SOLR kann die Anfälligkeit für die o.g. Sicherheitslücke durch aktivieren der Java-Option log4j2.formatMsgNoLookups=true beseitigt werden. Dazu ist folgende Option am Ende der Konfigurationsdatei /etc/default/solr.in.sh nötig:

# CVE-2021-44228 - Log4j (Log4Shell) Mitigation
SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"

Diese Konfiguration wurde bereits vorsorglich auf allen von managedhosting.de betriebenen Instanzen mit Managed Service Paket ausgerollt.

FileCloud

FileCloud ist eine PHP- basierte Anwendung und somit nicht direkt von CVE-2021-44228 – Log4j (Log4Shell) betroffen. Jedoch verwendet FileCloud zur Indizierung von Inhalten Apache SOLR, welcher wiederum Log4j benutzt. Nach jetzigem Kenntnisstand ist seitens der Applikation kein Durchgriff auf die entsprechenden Funktionen in Log4j möglich. Vorsorglich wurde jedoch die für die Härtung empfohlene SOLR – Konfiguration auf allen von managedhosting.de betriebenen FileCloud- Instanzen ausgerollt.

Update (16.12.2021): FileCloud hat inzwischen einen entsprechenden Patch für SOLOR und eine aktualisierte Version veröffentlicht.

Quelle: https://www.getfilecloud.com/supportdocs/display/cloud/Advisory+2021-12-2+Impact+of+Apache+Log4j2+Vulnerability+on+FileCloud+Customers

FileCloud Version 21.1

FileCloud steht seit Juni 2021 in der neuen Version 21.1 zur Verfügung. Neben vielen Detailverbesserungen ist vor allem die optimierte Perfomance der Applikation nennenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.

Die vollständige Liste aller Änderungen finden Sie wie immer in den Release Notes (Englisch).

Role Based Access Control (RBAC)

Die Rechteverwaltung für FileCloud Administratoren wurde komplett neu gestaltet und stellt jetzt eine rollenbasierte Rechteverwaltung bereit, die nach Bedarf individuell konfiguriert und einzelnen Nutzern oder Nutzergruppen zugewiesen werden kann.

Für folgende Bereiche können Administratoren nach Bedarf die Rechte „Read“, „Create“, „Update“ und „Delete“ zugewiesen werden:

  • Alert
  • Audit
  • Customization
  • Device Management
  • Encryption
  • Federated Search
  • Files
  • Folder Permissions
  • Groups
  • Locks
  • Manage Administrators
  • Metadata
  • Network Share
  • Notifications
  • Reports
  • Retention
  • Rich Dashboard
  • Settings
  • Smart Classification
  • Smart DLP
  • System
  • Team Folders
  • User Share
  • Users
  • Workflow

FileCloud 21 - RBAC

Abkürzungstasten (Keyboard Shortcut Keys)

Ebenfalls neu ist die Bedienbarkeit des Web UIs mittels Tastenkombinationen. Die vollständige Liste finden Sie in der Online Dokumentation (Englisch).

FileCloud 21 - Shortcut Keys

 

 

FileCloud Version 20.2 (Aurora)

FileCloud steht seit Oktober 2020 in der neuen Version 20.2 – Codename „Aurora“ zur Verfügung. Neben generellen Verbesserungen ist in dieser Version vor allem die neue, komplett überarbeitete Benutzeroberfläche bemerkenswert. An dieser Stelle möchten wir die wichtigsten Neuerungen vorstellen.

Magento Security Updates 2.4.1, 2.3.6 und 2.4.0-p1

Im nunmehr zweiten Sicherheitsupdate nach Ende des Supports für Magento 1 werden Lücken geschlossen, die Adobe selbst als wichtig bzw. kritisch einstuft. Während die meisten der geschlossenen Lücken mit Admin-Zugang ausnutzbar sind, wird auch eine Cross-site Scripting-Lücke genannt, die ohne Credentials auskommt.

Browserhersteller beschließen maximale Zertifikatslebensdauer von einem Jahr

Apple, die Mozilla Foundation (FireFox) und Google haben beschlossen, dass ihre Browser für alle ab dem 01.09.2020 ausgestellten Zertifikate nur eine maximale Gültigkeitsdauer von einem Jahr (398 Tage, d. h. 1 Jahr + 1 Monat Karenz) akzeptieren. Damit wurde die erst von 5 Jahren auf 3 und dann auf 2 Jahre verkürzte Gültigkeitsdauer von Zertifikaten erneut beschnitten, was letztlich in einem erhöhtem Administrationsaufwand für nicht bspw. per Let’s Encrypt automatisierbare Zertifikate mündet.

VMware Cloud Director 10

VMware Cloud Director ist die führende Plattform für die Bereitstellung von Cloud-Services. Ab 01.07.2020 können Kunden von managedhosting.de die umfassend modernisierte, auf VMware Cloud Director 10.x basierende IaaS – Plattform zur automatisierten Bereitstellung ihrer Applikationen nutzen.

VMware Cloud Director 10 stellt eine Reihe an neuen Funktionalitäten bereit:

DELL Technologies Forum 2019

Ein Tag. Ein Event. Alle Experten vor Ort.

Dell Technologies Forum 2019Das #DellTechForum ist die Plattform für spannende Themen rund um Cloud, IoT, Converged & Hyper-Converged, Security und Client Solutions Lösungen! Erfahren und entdecken Sie bei dieser kostenlosen, eintägigen Veranstaltung, wie wir Sie dabei unterstützen und begleiten, Ihre digitale Transformation zu gestalten.

Lassen Sie sich durch die Komplexität der Multicloud nicht ausbremsen. managedhosting.de kann Ihrem Unternehmen dabei helfen, ein konsistentes Betriebsmodell über Private und Public Clouds zu entwickeln. Erstellen Sie eine dauerhafte Multi-Cloud-Strategie, die Umgebungen vereinheitlicht und Risiken in Ihren Clouds reduziert.