Verinice nicht betroffen von log4j Schwachstelle

murygin · 13. Dezember 2021 um 09:21

In der letzten Woche wurde eine kritische Schwachstelle in der populären Logging Bibliothek log4j 2 gefunden. Die Schwachstelle wird in diesem Artikel beschrieben: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package und hat diese CVS Nummer erhalten: CVE-2021-44228.

Die im verinice.PRO Server enthaltenen log4j Versionen sind von der Schwachstelle nicht betroffen.

Falls Sie auf Ihrem verinice.PRO System andere Java Anwendungen in Tomcat zusätzlich installiert haben, können diese möglicherweise eine betroffene log4j Version enthalten. Daher empfehlen wir einen Parameter in die Tomcat Konfiguration aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen verhindert. Der Parameter muss eingetragen werden in die Datei:

/etc/tomcat/tomcat.conf

In dieser Datei muss der Parameter –Dlog4j2.formatMsgNoLookups=true zur Variable JAVA_OPTS hinzugefügt werden, so dass die Zeile zum Beispiel so aussieht:

JAVA_OPTS="-Xms512M -Xmx2048M -Dlog4j2.formatMsgNoLookups=true -Duser.language=de -Duser.region=DE"

UPDATE (17.12.2021): Bitte beachten Sie, dass diese Einstellung nicht in allen Fällen das Ausnutzen der Schwachstelle verhindert. Falls Sie also zusätzliche Anwendungen neben verinice.PRO in Ihrem Tomcat betreiben, beachten Sie bitte die Hinweise der jeweiligen Hersteller sowie die ständig aktualisierten Sicherheitshinweise der Apache Foundation.

wirpa · 14. Dezember 2021 um 11:29

Hallo, die oben stehende Meldung stammt ja von gestern Nachmittag. Mehr oder weniger gleichzeitig wurde mit dem Update 4 der BSI Warnmeldung bekannt, dass auch die Programmbibliothek in den Versionen 1.x verwundbar ist. Allerdings sei diese nur über eine schadhafte Programmkonfiguration verletzlich, sodass eine Ausnutzung weniger wahrscheinlich erscheint. Bleibt aufgrund der aktualisierten Meldung, die Nicht-Betroffenheit der verinice.PRO-Server bestehen?

Zudem empfiehlt das BSI in seiner Warnmeldung, dass noch eingesetzte Log4J Versionen 1.x ebenfalls auf eine nicht-verwundbare Version 2.x aktualisiert werden sollten, da diese nicht mehr vom Hersteller unterstützt werden (End-of-Life) und durch andere Schwachstellen verwundbar sind. Gibt es hierzu entsprechende Pläne seitens verinice?

Viele Grüße
wirpa

murygin · 14. Dezember 2021 um 14:40

Ich wiederhole das wichtigste zuerst: verinice ist nicht betroffen von der Schwachstelle CVE-2021-44228 (Log4Shell, NVD - CVE-2021-44228). Die von der Schwachstelle betroffenen Versionen der Bibliothek log4j > 2.10 und < 2.15 sind in verinice nicht enthalten.

In verinice enthalten ist die log4j Version 1.2.15. Diese Version ist nicht betroffen von der CVE-2021-44228. Im aktuellen Kontext wird jedoch eine andere Schwachstelle dieser Version genannt, die in verinice nur dann ausgenutzt werden kann, wenn in der Konfiguration außergewöhnlich von dem in der Dokumentation beschriebenen Standard abgewichen wurde:

CVE-2021-4104

Ausgenutzt werden kann diese Schwachstelle nur dann, wenn in der Konfigurationsdatei log4j.xml ein JMSAppender konfiguriert ist. Das verinice-Team hat einen solchen Appender auf keinem verinice-Server konfiguriert. Auf dem verinice.PRO-Server finden sie die Datei hier:

/usr/share/tomcat/webapps/veriniceserver/WEB-INF/classes/log4j.xml

Zur Sicherheit sollte geprüft werden, ob die Datei einen JMSAppender enthält.

In CentOS und RHEL 7 enthalten ist die log4j Version 1.2.17. Diese Version wird von Tomcat auf dem verinice.PRO-Server benutzt. Auch diese Version ist nicht betroffen von der CVE-2021-44228. Für die CVE-2021-4104 gilt das gleiche wie für verinice im letzten Absatz. Auch in der log4j Konfiguration von Tomcat sollte geprüft werden, ob ein JMSAppender enthalten ist. Die log4j Konfiguration von Tomcat liegt in den Dateien:

/etc/tomcat/log4j.properties und
/etc/tomcat/logging.properties

Ich weise darauf hin, dass sowohl Tomcat wie log4j 1.2.17 aus dem Repository von CentOS bzw. RHEL installiert werden. Dadurch können wir diese Version nicht direkt austauschen. CentOS bzw. RHEL garantieren jedoch, Sicherheits-Updates für die Pakete in diesem Repository bereitzustellen.

Darüber hinaus besteht auf dem verinice-Server kein unmittelbarer Handlungsbedarf.

Da die log4j Version 1.2.x nicht mehr weiterentwickelt wird, werden wir in der nächsten verinice Version 1.24 im 1. Quartal 2022 auf die aktuelle log4j Version wechseln. Aktuell ist das die 2.16.

UPDATE (20.12.2021): Mittlerweile wurde log4j 2.17 veröffentlicht. Wir werden diese Version in verinice 1.24 benutzen.

UPDATE (04.01.2022): RedHat bzw. CentOS haben eine Update des Pakets log4j für CentOS und RHEL 7 veröffentlicht. Die neue Version 1.2.17-17.el7_4 schließt die Schwachstelle CVE-2021-4104.