Vom BSI wurde in der Java Bibliothek log4j am Wochenende eine kritische Schwachstelle gefunden und diese als extrem kritische Bedrohungslage eingestuft. Da auch unser VPLAN diese Bibliothek nutzt, möchten wir Ihnen gerne eine kurze Information dazu geben.
Sachverhalt
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent die Felder in einer Webanwendung zu protokollieren.
…
Update 4: Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht. Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]
Quelle: www.bsi.bund.de
Wir können in dieser Hinsicht mittlerweile eine kleine Entwarnung geben, da keine der betroffenen log4j Version, v2.0 beta bis v2.14.1, von uns genutzt wird.
Für VPLAN ist die Version 1.2 im Einsatz, dabei wird die anfällige Konfiguration (org.apache.log4j.net.JMSAppender) ebenfalls nicht von uns genutzt.
Dennoch werden wir zeitnah eine Bug-Fix Version, mit der als sicher eingestuften Version log4j V2.15.0, erstellen und bereitstellen.
