Am Freitag, den 10.12.2021 ist eine kritische Zero-Day-Sicherheitslücke in einer Komponente (Log4J) bekannt geworden, die auch in Intrexx eingesetzt wird. Seitdem untersuchen unsere Techniker die bekannt gewordenen Lücken und analysieren deren Auswirkungen auf die Sicherheit von Intrexx. Seit der ersten Meldung wurden weitere verwandte Angriffsszenarien bekannt, die wir ebenfalls in unsere Analyse einbeziehen. Wir von United Planet haben stets das Ohr an den entsprechenden News-Kanälen, um schnellstmöglich reagieren zu können.
Grundlage der folgenden Analyse sind die drei Sicherheitslücken CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832, sowie der Wissensstand vom 04.01.2022 - 09:00 Uhr.
In den Intrexx Versionen 18.03 und älter wird die Log4J Version 1.x eingesetzt.
Für diese Versionen besteht keinerlei Gefahr, sofern Sie nicht die Logging-Konfiguration manuell angepasst und dadurch den beschriebenen Lookup-Mechanismus selbst aktiviert haben. Der Auslieferungszustand von Intrexx ist über die bisher bekannt gewordenen Sicherheitslücken nicht angreifbar.
In den Intrexx Versionen 19.03 und neuer wird die Log4J 2.x eingesetzt.
Der ursprünglich beschriebene Angriff in CVE-2021-44228 ist hier mit Wissen über die Einträge im Klassenpfad (Classpath) durchführbar. Aus diesem Grund haben wir für diese Versionen entsprechende Online Updates am 13.12.2021 zur Verfügung gestellt, welche die Log4J Version 2.15.0 ausliefern.
Aufgrund des Bekanntwerdens von CVE-2021-45046 hat die Apache Foundation eine weitere Version 2.16.0 von Log4J veröffentlicht. Diese Sicherheitslücke ist mit Intrexx nicht ausnutzbar, solange die entsprechenden Optionen in der Konfiguration nicht manuell hinzugefügt wurden. Dennoch haben wir uns am 17.12.2021 entschlossen hier ein weiteres Online Update auszuliefern, da viele Unternehmen automatische Scanner nutzen, um schädliche Bibliotheken aufzuspüren. In solchen Fällen würde auch Intrexx als potentiell unsicher markiert werden.
Gleiches gilt für den CVE-2021-45105, Intrexx ist auch hiervon nicht betroffen, dennoch haben wir für unsere Kunden am 20.12.2021 ein Online Update mit der neuen Log4J Version 2.17.0 ausgeliefert, um jeglicher Verunsicherung entgegenzutreten.
Die Sicherheitslücke CVE-2021-44832 ist nicht relevant für den Betrieb von Log4J in Intrexx, da ein Ausnutzen nur möglich ist, wenn Zugriff auf die Konfigurationsdateien von Log4J vorhanden ist. Ein Update auf die Version 2.17.1 ist nicht nötig. Diese wird dennoch in einem der kommenden Online Updates ausgeliefert.
Grundlage der folgenden Analyse sind die drei Sicherheitslücken CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832, sowie der Wissensstand vom 04.01.2022 - 09:00 Uhr.
In den Intrexx Versionen 18.03 und älter wird die Log4J Version 1.x eingesetzt.
Für diese Versionen besteht keinerlei Gefahr, sofern Sie nicht die Logging-Konfiguration manuell angepasst und dadurch den beschriebenen Lookup-Mechanismus selbst aktiviert haben. Der Auslieferungszustand von Intrexx ist über die bisher bekannt gewordenen Sicherheitslücken nicht angreifbar.
In den Intrexx Versionen 19.03 und neuer wird die Log4J 2.x eingesetzt.
Der ursprünglich beschriebene Angriff in CVE-2021-44228 ist hier mit Wissen über die Einträge im Klassenpfad (Classpath) durchführbar. Aus diesem Grund haben wir für diese Versionen entsprechende Online Updates am 13.12.2021 zur Verfügung gestellt, welche die Log4J Version 2.15.0 ausliefern.
Aufgrund des Bekanntwerdens von CVE-2021-45046 hat die Apache Foundation eine weitere Version 2.16.0 von Log4J veröffentlicht. Diese Sicherheitslücke ist mit Intrexx nicht ausnutzbar, solange die entsprechenden Optionen in der Konfiguration nicht manuell hinzugefügt wurden. Dennoch haben wir uns am 17.12.2021 entschlossen hier ein weiteres Online Update auszuliefern, da viele Unternehmen automatische Scanner nutzen, um schädliche Bibliotheken aufzuspüren. In solchen Fällen würde auch Intrexx als potentiell unsicher markiert werden.
Gleiches gilt für den CVE-2021-45105, Intrexx ist auch hiervon nicht betroffen, dennoch haben wir für unsere Kunden am 20.12.2021 ein Online Update mit der neuen Log4J Version 2.17.0 ausgeliefert, um jeglicher Verunsicherung entgegenzutreten.
Die Sicherheitslücke CVE-2021-44832 ist nicht relevant für den Betrieb von Log4J in Intrexx, da ein Ausnutzen nur möglich ist, wenn Zugriff auf die Konfigurationsdateien von Log4J vorhanden ist. Ein Update auf die Version 2.17.1 ist nicht nötig. Diese wird dennoch in einem der kommenden Online Updates ausgeliefert.
Was ist nun zu tun?
Die von uns am 20.12.2021 veröffentlichten Online Updates für die Intrexx Versionen 19.03, den Steady Track, sowie den Silent Track schließen diese Lücke, ohne dass weitere Änderungen notwendig sind. Sofern Sie die aktuellen Online Updates eingespielt und keine Optionen in der Konfiguration manuell hinzugefügt haben, besteht für Ihr System kein Risiko.
Wie können Sie überprüfen, ob Sie ein sicheres System einsetzen?
Für Intrexx 19.03 gilt das aktuelle Online Update 2508
Für Intrexx 21.03 gilt das aktuelle Online Update 0907
Für Intrexx Steady Track gilt das aktuelle Setup 10.3.0.20211220.225863
Info:
Die Versionsnummer des Steady Track können Sie im Installationsverzeichnis entnehmen, dort enthalten sein muss unter anderen die 10.3.0.20211220.225863.version
Sofern der Portal Manager den selben Stand wie der Server hat, können Sie die Info auch dort entnehmen: Reiter "Hilfe" Menüpunkt "Über Intrexx Portal Manager".
Sofern Sie den Portable Manager der Intrexx Version Silent Track (21.03) einsetzten, müssen Sie bitte die aktuellste Version ("latest" bzw. Stand OU-0907) des Portable Manager beziehen und den Portable Manager ersetzten. Beim Einsatz des Portable Manager der Intrexx Version Steady Track ist dies, sofern bereits das aktuelle Online Update installiert wurde, nicht erforderlich.
Was ist zu tun, wenn die Online Updates nicht zeitnah installiert werden können?
Um die Lücke ohne Online Update manuell zu schließen, muss in den besagten Systemdateien ein zusätzlicher Java Additional Parameter eingefügt werden. Bitte achten Sie darauf, dass Sie diese Dateien nur mit einem UTF8-fähigen Editor (Notepad++) bearbeiten. Nach den Anpassungen müssen die betroffenen Dienste (Portal, Supervisor und Solr) neu gestartet werden.
Gehen Sie bitte wie folgt vor:
1) <portal>/internal/cfg/portal.wcf
Erweitern Sie die portal.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild portal.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
2) <installation>/cfg/supervisor.wcf
Erweitern Sie die supervisor.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild supervisor.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
3) <installation>/cfg/solr.wcf
Erweitern Sie die solr.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild solr.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
4) Starten Sie nun die betroffenen Dienste (Portal, Supervisor und Solr) neu.
Die von uns am 20.12.2021 veröffentlichten Online Updates für die Intrexx Versionen 19.03, den Steady Track, sowie den Silent Track schließen diese Lücke, ohne dass weitere Änderungen notwendig sind. Sofern Sie die aktuellen Online Updates eingespielt und keine Optionen in der Konfiguration manuell hinzugefügt haben, besteht für Ihr System kein Risiko.
Wie können Sie überprüfen, ob Sie ein sicheres System einsetzen?
Für Intrexx 19.03 gilt das aktuelle Online Update 2508
Für Intrexx 21.03 gilt das aktuelle Online Update 0907
Für Intrexx Steady Track gilt das aktuelle Setup 10.3.0.20211220.225863
Info:
Die Versionsnummer des Steady Track können Sie im Installationsverzeichnis entnehmen, dort enthalten sein muss unter anderen die 10.3.0.20211220.225863.version
Sofern der Portal Manager den selben Stand wie der Server hat, können Sie die Info auch dort entnehmen: Reiter "Hilfe" Menüpunkt "Über Intrexx Portal Manager".
Sofern Sie den Portable Manager der Intrexx Version Silent Track (21.03) einsetzten, müssen Sie bitte die aktuellste Version ("latest" bzw. Stand OU-0907) des Portable Manager beziehen und den Portable Manager ersetzten. Beim Einsatz des Portable Manager der Intrexx Version Steady Track ist dies, sofern bereits das aktuelle Online Update installiert wurde, nicht erforderlich.
Was ist zu tun, wenn die Online Updates nicht zeitnah installiert werden können?
Um die Lücke ohne Online Update manuell zu schließen, muss in den besagten Systemdateien ein zusätzlicher Java Additional Parameter eingefügt werden. Bitte achten Sie darauf, dass Sie diese Dateien nur mit einem UTF8-fähigen Editor (Notepad++) bearbeiten. Nach den Anpassungen müssen die betroffenen Dienste (Portal, Supervisor und Solr) neu gestartet werden.
Gehen Sie bitte wie folgt vor:
1) <portal>/internal/cfg/portal.wcf
Erweitern Sie die portal.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild portal.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
2) <installation>/cfg/supervisor.wcf
Erweitern Sie die supervisor.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild supervisor.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
3) <installation>/cfg/solr.wcf
Erweitern Sie die solr.wcf um folgenden Java Additional Parameter, bitte beachten Sie hierbei die fortlaufende Nummerierung entsprechend anzupassen, siehe auch Bild solr.wcf.png
wrapper.java.additional.X=-Dlog4j2.formatMsgNoLookups=true
4) Starten Sie nun die betroffenen Dienste (Portal, Supervisor und Solr) neu.
Intrexx Version:
- SteadyTrack
- SilentTrack
- 19.03
- 18.03
Details:
Kategorie:Security
Betriebssystem:unspecific
Datenbank:unspecific
Stand von:03-07-2023