Sicherheitslücke in log4j2
von Bence Nagy
Sicherheitslücke in log4j2 betrifft auch Allegra
Am Samstag wurde eine Sicherheitslücke in der auch in Allegra verwendeten Bibliothek log4j2 bekannt. Wir hatten bis Sonntagnachmittag die Installationen aller bei uns gehosteten Systeme mit einem Patch versehen.
Heute haben wir ein neues Build der aktuellen Version 7.1 veröffentlicht, das die Lücke schließt. Wir empfehlen allen Kunden, die mit Version 7.0 oder 7.1 arbeiten, auf dieses Build zu aktualisieren.
Kunden, die ältere Versionen wie 5.x oder 6.x betreiben, sollten der JVM ihres ServletContainers den Systemparameter "-Dlog4j2.formatMsgNoLookups=true" mitgeben, z.B. bei Tomcat in bin/setenv.sh in der Form JAVA_OPTS="$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true ....".
Es ist unwahrscheinlich, dass die Sicherheitslücke in Allegra ausgenutzt werden kann, wenn man nicht im System angemeldet ist und wenn die Logger-Konfigurationsdateien nicht geändert worden sind. Kunden mit aktivem Wartungsvertrag stellen wir Informationen zur Verfügung, mit deren Hilfe sie testen können, ob ihre Installation vulnerabel ist. Bitte melden Sie sich dafür beim Support (support@trackplus.com).
Update 15. Dezember 2021 12:00 Uhr: Es wurde festgestellt, dass der allgemein empfohlene Patch zur Adressierung von CVE-2021-44228 in Apache Log4j 2.15.0 in bestimmten nicht standardmäßigen Konfigurationen unvollständig war. Es besteht immer noch eine Sicherheitslücke, die für einen weniger kritischen Denial-of-Service (DOS)-Angriff ausgenutzt werden kann. Deshalb haben wir ein weiteres Build (Allegra 7.1.0 Build 514v veröffentlicht, das auch dieses Problem behebt. Wir empfehlen dann Allegra mit diesem neusten Build zu aktualisieren. Für mehr Informationen besuchen Sie bitte https://logging.apache.org/log4j/2.x/security.html .