Apache Log4J CVE-2021-44228: Aktuelle Informationen

Eine kritische Sicherheitslücke wurde in der weit verbreiteten Protokollierungsbibliothek Apache Log4J 2 in den Versionen 2.0 bis einschließlich 2.14 entdeckt.

Letztes Update: 26.01.2022, 14:55 Uhr
Erstellungsdatum: 13.12.2021, 9:00 Uhr

Inhalt der letzten Aktualisierungen: siehe Changelog

Überblick zu verschiedenen log4j2-Versionen

In den vergangenen Tagen seit dem initialen Bekanntwerden der log4shell-Sicherheitslücke wurden wiederholt weitere Sicherheitsprobleme im Zusammenhang mit log4j bekannt.

Wir geben an dieser Stelle Handlungsempfehlungen für den Umgang mit den log4j-Versionen, die in Ihrer Installation von IntraFind-Produkten im Einsatz sind:

log4j-2.0 - 2.14
Diese Versionen enthalten das ursprüngliche log4shell-Problem. Wir empfehlen unbedingt ein Update - mit unserem Update Tool ist dies sehr einfach möglich.

log4j-2.15
Die in dieser Version bestehende Sicherheitslücke bietet im iFinder eine wesentlich reduzierte Angriffsfläche. Wir empfehlen dennoch eine Aktualisierung, um auch minimale Angriffsflächen auszuschließen.

log4j-2.16
Die IntraFind Software Komponenten verwenden die hier betroffenen Features von log4j nicht. Im Sinne einer sauberen und abschließenden Beseitigung des log4shell-Problems empfehlen wir dennoch ein Update auf aktuellste Version 2.17.

log4j-2.17
In dieser Version wurde ein weniger gravierendes Sicherheitsrisiko identifiziert, das unter normalen Umständen zu keinen Problemen führen wird und auch nicht mit der ursprünglichen log4shell-Problematik zusammenhängt. Im Sinne einer sauberen und abschließenden Beseitigung des log4shell-Problems können Sie mit dem Update Tool auf die aktuelle Version 2.17.1 aktualisieren.

log4j-2.17.1
Dies ist die aktuellste Version von log4j, die mit unserem Update Tool ausgerollt wird.

Welche IntraFind Produkte sind betroffen?

iFinder

Seit Version 5.4.2 (März 2021) des iFinder wird die Bibliothek log4j2 ausgeliefert. Ältere Versionen des iFinder bis zur Version 5.2.0 sind durch die Verwendung von Elasticsearch ebenso betroffen. Versionen älter als die 5.2.0 sind nicht betroffen.

Bekannte betroffene Versionen

5.2.0
5.2.1
5.3.0
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.4.0
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.6
5.5.0

Contract Analyzer

Der Contract Analyzer ist bereits geschützt.

Topic Finder

Bekannte betroffene Versionen

5.0.4
5.0.5

Tagging Service

Bekannte betroffene Versionen

2.6.5
2.6.6

iFinder Search for Confluence

Bekannte betroffene Versionen

if-pl-ifcs7-5.4.2.0_7.0.1-7.11.1.0.0.obr
if-pl-ifcs7-5.4.3.5_7.0.1-7.11.1.2.5.1.obr
if-pl-ifcs7-5.4.3.5_7.0.1-7.11.1.2.5.7.obr
if-pl-ifcs7-5.4.4.0_7.0.1-7.12.1.3.0.obr
if-pl-ifcs7-5.4.4.4_7.0.1-7.12.1.3.4.obr
if-pl-ifcs7-5.4.5.0.obr

Es sind für alle betroffenen Versionen Patch-Releases verfügbar. Über den Atlassian Marketplace können Sie die Version 5.4.5.3-log4j-patch herunterladen. Für alle anderen Versionen kontaktieren Sie bitte unseren Support.

Das iFinder Search for Confluence Plugin verwendet die Confluence Logging Infrastruktur. Über den folgenden Link können Sie die aktuellen Einschätzungen und mögliche Abhilfen direkt von Atlassian erfahren: https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html.

IntraFind Linguistik-Plugin für Elasticsearch

Das IntraFind Linguistik-Plugin läuft innerhalb der Elasticsearch-Infrastruktur und nutzt das Logging-Framework. Seit Version 5.0 verwendet Elasticsearch log4j2. Benutzerdefinierte Java Security Manager Konfigurationen, die für das Plugin notwendig sind, verschlimmern die Schwachstelle. Um Ihre Elasticsearch-Installation zu sichern, ersetzen Sie bitte entweder die log4j-Jars durch die aktuelle Version oder fügen Sie die entsprechende Option zur Deaktivierung der log4j-Funktion hinzu. Detaillierte Anweisungen finden Sie weiter unten.

Wie können IntraFind Systeme geschützt werden?

IntraFind wird kurzfristig log4j2-Patch-Releases für alle betroffenen und noch unterstützten Produktversionen zur Verfügung stellen.

Verfügbare Sicherheitsupdates

5.5.0: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.5.0/de/release-notes/release-notes-5-5-0
5.4.6: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.6/de/release-notes/release-notes-5-4-6
5.4.5: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.5/de/release-notes/release-notes-5-4-5
5.4.4: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.4/de/release-notes/release-notes-5-4-4
5.4.3: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.4/de/release-notes/release-notes-5-4-3
5.4.2: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.4/de/release-notes/release-notes-5-4-2
5.4.1: Sicherheitsupdate verfügbar, Release Notes: https://extranet.intrafind.de/tecdoc/5.4.1/de/release-notes/release-notes-5-4-1

Die Release Notes finden Sie in unserem Extranet. Sollten Sie noch keinen Zugang dazu haben, können Sie diesen hier anfordern.

Bitte überprüfen Sie diese Seite auf weitere Updates.

Bis dahin gibt es zwei mögliche Abhilfestrategien, die im Folgenden beschrieben werden. Bitte wenden Sie sich an unseren Support, wenn Sie weitere Unterstützung benötigen.

Präferierte Lösung: Ersetzen Sie die log4j2-Bibliotheken durch die neueste Version

Die Schwachstelle kann beseitigt werden, indem alle log4j-Bibliotheken Ihrer IntraFind-Komponenten durch die aktuellste Version dieser Bibliothek (inklusive der Schließung der Sicherheitslücke) ersetzt werden.

Wir stellen dafür ein Tool bereit, das diese Aktualisierung automatisch durchführt:

Laden Sie das Tool hier herunter: https://intrafind.org/log4j/
Folgen Sie der Anleitung in der Datei Readme.pdf im obigen Download-Ordner, oder hier auf GitHub.
Verfolgen Sie die aktuellsten Entwicklungen und Updates in der changelog.pdf und hier auf Github.

Alternative Lösung: Deaktivierung der Funktion in der log4j-Konfiguration

Die Verwendung des if-log4shell-updater Tools stellt aus unserer Sicht die sicherste Variante dar, um Ihre IntraFind Produkte kurzfristig gegen Angriffe auf die log4shell Schwachstelle abzusichern.

An dieser Stelle wird eine weitere weithin akzeptierte Möglichkeit dargestellt, die Schwachstelle zu entschärfen, indem die entsprechende Funktionalität in log4j über eine Java-Eigenschaft oder eine Systemumgebungsvariable deaktiviert wird (vgl. Informationen des BSI).

Wir empfehlen diese Methode, wenn der Einsatz des if-log4shell-updater Tools nicht möglich ist: Sie erfordert keine Ersetzung von Dateien und ist ebenfalls geeignet, die Schwachstelle zu neutralisieren.

Sie finden Details zu dieser Methode hier auf Github.

Updates zur Situation

Wir aktualisieren diese Seite regelmäßig, Sie erhalten hier die aktuellen Informationen zur Lage.
In dringenden Fällen wenden Sie sich an Ihren direkten Ansprechpartner bei IntraFind.

Changelog

Änderungen im Update Tool: bitte prüfen Sie die Aktualisierungen in unserem Update Tool direkt hier in Github.

--------------------

Aktualisierungen auf dieser Website

26.01.2022, 14:55 Uhr: Neues Sicherheitsupdate Version 5.4.1

17.01.2022, 15:30 Uhr: Neue log4j2-Version log4j-2.17.1

13.01.2022, 15:00 Uhr: Neues Sicherheitsupdate Version 5.4.2

23.12.2021, 11:30 Uhr: Überblick zum Umgang mit den verschiedenen log4j2-Versionen

22.12.2021, 13:30 Uhr: Neues Sicherheitsupdate Version 5.4.5

22.12.2021, 10:00 Uhr: Neues Sicherheitsupdate Version 5.4.3

21.12.2021, 11:00 Uhr: Neues Sicherheitsupdate Version 5.4.4

Weitere Informationen und Links

Details zu der aktuellen Lage: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
Informationen von Elastic: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476