zobelrob
I'm new here

Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo zusammen,

aktuell ist eine Sicherheitslücke in log4j bekannt geworden: Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online

Betrifft diese Lücke auch den CaaS? Dieser ist bei uns aus dem Internet erreichbar und daher überlegen wir, ob wir diesen abschalten müssen.

Viele Grüß

Robert

Labels (1)
1 Solution

Accepted Solutions
linde
Elite Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Zero-Day Exploit in log4j:​ Hier soll es die weiteren Infos geben.

View solution in original post

13 Replies
pjodeleit
e-Spirit employee

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo,

CaaS ist (genauso wie FirstSpirit) nicht betroffen.

Zum loggen wird beim CaaS Logback Classic eingesetzt.

Liebe Grüße

Peter
lobanova
Elite Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo Peter.

Alle FS Versionen sind nicht betroffen?

Die Suche nach Log4J im FS (2020-05) Verzeichnis gibt die Libs aufgelistet zurück:

/opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-to-slf4j-2.12.1.jar

/opt/firstspirit5/web/fs5webedit/WEB-INF/lib/log4j-api-2.12.1.jar

Gruss & Danke,

Olga

mseyfarth
Elite Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo Peter,

hier wäre wohl eine vollständige Auflistung aller FS Versionen hilfreich, welche betroffen und welche nicht sind.

Nicht alle laufen auf der aktuellsten Version.

Viele Grüße

Matthias

lehnerv
I'm new here

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo!

Gibt es schon eine offizielle Liste bzw. Info, welche Versionen von FirstSpirit von der Log4j Sicherheitslücke betroffen bzw. nicht betroffen sind?

Evtl. gibt es ja auch proaktiv von e-Spirit eine Konfigurationsempfehlung, wie diese kurzfristig zu schließen ist.

Viele Grüße

Volker

eginger
Returning Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo zusammen,

bei uns kann ich folgende Versionen im FirstSpirit Verzeichnis finden:

2021-06 - Webedit:

log4j-api-2.13.3.jar

log4j-to-slf4j-2.13.3.jar

2021-09 - Webedit:

log4j-api-2.14.1.jar

log4j-to-slf4j-2.14.1.jar

Kann schon jemand sagen, wie es mit der neuen FS Version 2021-12 die am Freitag veröffentlicht wurde, aussieht?

[RELEASE] FirstSpirit™ 2021-12

Mit freundilchen Grüßen

Stephan Eginger

0 Kudos
dleinich
Crownpeak Employee
Crownpeak Employee

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo zusammen,

wir arbeiten gerade intensiv und aktiv an der Analyse der Schwachstelle und tragen entsprechende Informationen hier zusammen:

Der Post entsteht gerade und wird nach und nach und schnellstmöglich mit Infos angereichert. Bitte haltet diesen im Auge, um schnellstmöglich über Updates informiert zu werden, die wir heute und in den nächsten Tagen ergänzen werden.

Herzliche Grüße

Daniel

0 Kudos
brandelc
Occasional Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hallo,

Vielleicht hilft das bei der Klärung: in der Mitteilung bei apache https://logging.apache.org/log4j/2.x/security.html​ wird explizit auf das "logj4-core" hingewiesen.

"Versions Affected: all log4j-core versions >=2.0-beta9 and <=2.14.1"

Das log4j-core-xx.jar ist in einer FirstSpirit Installation wohl nicht mit dabei, da das eigentlich Logging wie von PeterJodeleit beschrieben über Logback ausgeführt wird und nicht über log4j-core.

Gruß,

Christian Brandel

0 Kudos
felix_reinhold
Occasional Collector

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Hi zusammen,

meines Wissens nach sind nur Systeme betroffen, die die log4j-core nutzen.  log4j-to-slf4j und log4j-api können wohl nicht exploitet werden:

Log4J2 Vulnerability and Spring Boot

Viele Grüße

Felix

0 Kudos
linde
Elite Observer

Re: Kritische Lücke in log4j auch in CaaS?

Jump to solution

Im fs-server.jar wird die Version 1.2 mit ausgeliefert. Die 1.x Versionen sind auch nicht so ganz frei von der Problematik so habe ich das bisher verstanden. Wie ist denn da die Handlungsempfehlung?

0 Kudos