Aktuelle News vom BSI finden Sie hier
Am 9. Dezember 2021 wurde eine schwere Remote Code Execution Schwachstelle in Apaches Log4J festgestellt. Bei Log4J handelt es sich um ein weit verbreitetes Logging System, das von Entwicklern für Web- und Serverapplikationen, die auf Java und anderen Programmiersprachen basieren, genutzt wird. Die Schwachstelle betrifft einen großen Teil von Services und Applikationen auf Servern, wodurch sie extrem gefährlich ist und die neuesten Patches für diese Applikationen dringend benötigt werden. Sophos konnte auf breiter Fläche feststellen, das Angreifer versuchen die Schwachstelle auszunutzen.
Die Schwachstelle macht es jedem Angreifer, der in der Lage ist Text in die Log-Nachrichten, oder Log-Nachrichten-Parameter in die Server-Logs zu injizieren, möglich Code von einem entfernten Server nachzuladen. Der angegriffene Server führt diesen Code anschließend über Calls zum Java Naming and Directory Interface (JNDI) aus. JNDI interagiert mit einer Vielzahl an Netzwerkdiensten, inklusive Lightweight Directory Access Protocol (LDAP), Domain Name Service (DNS), Javas Remote Interface (RMI) und dem Common Object Request Broker (COBRA). Sophos konnte feststellen, dass LDAP, DNS und RMI Ziele von Angriffen waren, bei denen eine URL die auf diese Dienste getaggt war an einen externen Server weitergeleitet werden.
Es existieren zwar Möglichkeiten mit denen Kunden die Schwachstelle eingrenzen können, die beste Lösung des Problems ist allerdings ein Upgrade auf die gepatchte Version, die mit log4j 2.15.0 bereits von Apache bereitgestellt worden ist.
Ein weiterer Log4j Bug, CVE-2021-45046, zwang Apache dazu ein weiteres Update für Log4j bereitzustellen, von 2.15.0 zu 2.16.0. Glücklicherweise erlaubt dieser Bug weder Remote Code Execution, noch das Abfliessen von Daten. Der Bug ermöglicht allerdings eine Denial-of-Service-Attacke, die zum festhängen der Prozesse führen kann.
Unglücklicherweise wirken die Möglichkeiten zur Schwachstellen-Eingrenzung für 2.15.0 (eine spezielle Option per Kommandozeile, oder über eine Umgebungsvariable setzen) nicht gegen CVE-2021-45046. Um sich gegen CVE-2021-45046 zu schützen, müssen Sie zwingend auf Log4j Version 2.16.0 patchen.
Sophos empfiehlt, sofern Sie mit dem Patchen bereits begonnen haben, alle noch ungepatchten Maschinen auf Version 2.16.0 zu updaten, bevor Sie die Maschinen mit 2.15.0 updaten. Dadurch stellen Sie sicher, dass die minimale Version 2.15.0 ist und Sie vor dem kritischen CVE-2021-44228 geschützt sind.
Wir haben hier alle Informationen von unserem Partner HP Inc. zusammengefasst.
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| Drucker / Multifunktionsgeräte | JA – betroffen | wenn Firmwarestand < FutureSmart 5.3.0 | Firmwareupdate auf mind. FS 5.3.0 |
Weitere Informationen finden Sie direkt in den HP Security Bulletins
Update: 17.12.2021
Email seitens HP Partner Manager
HP-Produkte, die nicht von der Log4j-Schwachstelle betroffen sind:
HP Enterprise LaserJet und Managed LaserJet Drucker und MFPs mit FutureSmart Version 3/4/5
HP Enterprise PageWide und Managed PageWide Drucker und MFPs mit FutureSmart Version 3/4/5
HP Pro PageWide und Managed PageWide Drucker und MFPs
HP Pro LaserJet und Managed LaserJet Drucker und MFPs
HP Digital Sender mit FutureSmart Firmware 3/4/5
HP ScanJets mit FutureSmart Firmware 3/4/5
HP LaserJet Drucker und MFPs mit OZ-basierter Firmware (keine Chai-Applets)
HP DesignJet Produkte
HP PageWide XL Produkte
HP Latex Produkte
HP Stitch Produkte
HP DeskJet Drucker
HP OfficeJet Drucker
HP Smart Tank Drucker
HP Neverstop Laserdrucker
HP LaserJet und Laserdrucker
HP Workpath
HP Jetdirect Zubehördrucker
Drucker der Marke Samsung
HP Capture und Route
HP Zutrittskontrolle
HP Advance Produkte
HP Web Jetadmin Software
HP Security Manager-Software
HP Command Center (HPCC Solution Store)
HP entwickelte Workpath-Anwendungen
HP Software für digitales Senden
HP Roam
HP Universal-Druckertreiber
HP Print und Scan Doctor
HP Smart
Wir haben hier alle Informationen von unserem Partner MyQ Solutions zusammengefasst.
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| MyQ X | nein – nicht betroffen | Entwicklung ohne JAVA | nicht benötigt |
| MyQ Roger | nein – nicht betroffen | Entwicklung ohne JAVA | nicht benötigt |
Weitere Informationen finden Sie direkt in den HP Security Bulletins
Wir haben hier alle Informationen von unserem Partner Kofax zusammengefasst.
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| SafeCom | nein – nicht betroffen | – | nicht benötigt |
| Control Suite | JA – betroffen | Entwicklung ohne JAVA | Update einspielen |
Weitere Informationen finden Sie direkt in den HP Security Bulletins
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| Sophos Central | nein – nicht betroffen | Sophos Central nutzt keine ausnutzbare Konfiguration | nicht benötigt |
| Sophos Firewall (alle Versionen) | nein – nicht betroffen | Sophos Firewall nutzt Log4j nicht. | nicht benötigt |
| SG UTM (alle Versionen) | nein – nicht betroffen | Sophos SG UTM nutzt Log4j nicht. | nicht benötigt |
| Sophos RED | nein – nicht betroffen | Sophos RED nutzt Log4j nicht. | nicht benötigt |
| Sophos Firewall Clients | nein – nicht betroffen | Sophos Firewall Clients nutzen Log4j nicht. – Sophos Connect Client – Sophos SSL VPN Client – Sophos Transparent Authentication Suite (STAS) – Sophos Authentication for Thin Client (SATC) (EOL) – Client Authentication Agent (all Versions) | nicht benötigt |
Wir haben hier alle Informationen von unserem Partner Pascom zusammengefasst.
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| Pascom Cloud | nein – nicht betroffen | – | – |
Wir haben hier alle Informationen von unserem Partner Microsoft zusammengefasst.
| Produkt | Betroffen | Status | Lösungsansatz |
|---|---|---|---|
| alle Microsoft Produkte | kann aktuell nicht bestätigt werden | – | halten Sie ihre Microsoft Software aktuell |