FAQ | Sicherheitslücke log4shell

In der weit verbreiteten Java-Bibliothek Log4j führt die kritische Schwachstelle Log4Shell (CVE-2021-44228) nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage.

 

Ist CAS genesisWorld und seine verwendeten Komponenten von der Sicherheitslücke betroffen?

Produkt: CAS genesisWorld
Version: ab Version x11.1.0.11752

Der Hersteller CAS Software AG hat CAS genesisWorld auf die Nutzung der log4j-Bibliothek geprüft.

Die Analyse hat ergeben, dass die kritische Bibliothek log4j-core im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch zum Einsatz kommt. Alle anderen java-basierten Komponenten und Dienste in CAS genesisWorld verwenden Log4j nach derzeitigem Kenntnisstand nicht bzw. lediglich die Schnittstellen-Bibliothek log4j-api, welche nicht von der Sicherheitslücke betroffen ist.

 

Zur kurzfristigen Behebung stehen Ihnen alternativ folgende Lösungsansätze zur Verfügung:

  • Sie können im Server Manager von CAS genesisWorld den Dienst ElasticSearch deaktivieren. Damit steht dann in Konsequenz die SmartSearch nicht mehr zur Verfügung.

oder

  • Navigieren Sie zu der Datei "C:\Program Files (x86)\Common Files\CAS-Software\Server\JavaServices\elasticsearch\elasticsearch.xml".

  • Öffnen Sie die Datei und navigieren Sie zum Eintrag
    "< executable>%JAVASERVICES_HOME%\jdk-11.xxxxxx\bin\java.exe< /executable>".
    (OHNE LEERZEICHEN!)

  • Fügen Sie direkt nach diesem Eintrag folgende Zeile hinzu:
    < argument>-Dlog4j2.formatMsgNoLookups=true< /argument>
    (OHNE LEERZEICHEN!)

  • Speichern Sie die Datei und starten Sie den Dienst ElasticSearch über den CAS Server Manager neu.

  • Da ein manuelles Ändern der Konfigurationsdatei durch das Einspielen eines Software-Updates überschrieben würde, empfehlen wir die u.g. Software-Updates zeitnah einzuspielen.

oder

  • Entsprechend der Empfehlung des BSI können Sie alternativ auch die Windows-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true setzen. Auch hier müssen Sie den Dienst ElasticSearch im CAS Server Manager neu starten.

Die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld werden die potenzielle Ausnutzung dieser Sicherheitslücke verhindern.

-----------------------------------------

Ergänzung vom 14.12.2021:

Der Hersteller Elastic beschreibt die Sicherheitslücke von ElasticSearch in einem Artikel. Siehe hierzu https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476.

CAS genesisWorld x11 bis x13 verwenden ElasticSearch in der Version 6.5.4. Der Dienst ElasticSearch läuft dabei in einer Java Runtime der Version 11.03 oder höher. log4j innerhalb von ElasticSearch hat die Version 2.11.1.

Die Version x10 von CAS genesisWorld verwendet ElasticSearch in der Version 6.2.3. Der Dienst ElasticSearch läuft dabei in einer Java Runtime der Version 8. log4j innerhalb von ElasticSearch hat die Version 2.9.1.
--> In der Version x10 kann der nach unserer Auffassung der oben beschriebene 3. Lösungsansatz NICHT angewendet werden.

Die Versionen x6 bis x9 setzen ElasticSearch in einer früheren Versionen ein, die noch log4j in einer Version 1.x verwenden. Die in CVE-2021-44228 beschriebene Sicherheitslücke sollte hier nicht bestehen.

Alle CAS genesisWorld Versionen x5 oder kleiner enthalten die ElasticSearch nicht.

Unabhängig davon empfehlen wir allen Kunden ein Update auf eine supportete CAS genesisWorld-Version.

-----------------------------------------

Update 15.12.2021

Der Dienst ElasticSearch ist in der Standardauslieferung von CAS genesisWorld so konfiguriert, dass er nur direkt auf dem Applikationsserver angesprochen werden kann. Die beiden Ports (im Standard 9200 und 9300) sind dabei nicht für Zugriffe von anderen Rechner freigegeben. Die Ansprache der ElasticSearch erfolgt ausschließlich über die genesisWorld Webservices.

Die Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 enthalten innerhalb der ElasticSearch-Dienstes eine Aktualisierung auf log4j 2.16.0. Damit sollte auch eine Behebung für CVE-2021-45046 (siehe nvd.nist.gov/vuln/detail/CVE-2021-45046) erfolgen.

-----------------------------------------

Update 20.12.2021

Für log4j ist zwischenzeitlich eine weitere Schwachstelle bekannt geworden: nvd.nist.gov/vuln/detail/CVE-2021-45105

Diese führt aber bei der in CAS genesisWorld enthaltenen ElasticSearch-Komponente laut dem Hersteller der Komponente zu keinen unerwünschten Verhaltensweisen: discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

Dennoch strebt die CAS Software AG für die nächsten regulären Software-Updates nochmals Aktualisierungen der betroffenen Komponenten an.

-----------------------------------------

Update 13.01.2022

Die o.g. Softwareupdates stehen zur Verfügung. Bitte sprechen Sie uns unter info@mpl.de auf die Auslieferung des Updates an.
Mit der Installation eines dieser Updates wird die Log4Shell-Komponente der CAS ElasticSearch durch eine neue Version ersetzt.

Back to Top