21.12.2021

Ein Update zu den Apache Log4J-Sicherheitslücken CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105

Artikel teilen:

ACTICO reagiert aktiv auf die gemeldete Schwachstelle in der Apache Log4J2 Java-Bibliothek, die als Log4Shell bezeichnet wird, und ebenso auf die neu gemeldeten Schwachstellen CVE-2021-45046 in log4j 2.15.0 und CVE-2021-45105 in log4j 2.16.0. Wir untersuchen und ergreifen Maßnahmen für ACTICO als Unternehmen, ACTICO-Produkte und ACTICO-Dienste, die möglicherweise betroffen sind, und werden laufend Informationen veröffentlichen, um Kunden dabei zu helfen, Angriffe auf ihre ACTICO-Produkte und -Dienste zu erkennen, zu untersuchen und zu entschärfen, falls sie auftreten.

WICHTIG:
Wir empfehlen dringend die Abhilfemaßnahmen von Log4J (https://logging.apache.org/log4j/2.x/security.html) anzuwenden, sowie von ACTICO bereitgestellte Updates zu installieren!
Informationen zu bestimmten ACTICO Produkten und Versionen finden Sie unten.

ACTICO
ACTICO führt weiterhin eine Bestandsaufnahme der Produkte und Systeme durch, die möglicherweise von der Sicherheitslücke betroffen sind. Soweit erforderlich, aktualisieren wir auf die Log4J Version, die die Schwachstelle behebt, und wenden in der Zwischenzeit Abhilfemaßnahmen an, selbst in Fällen, in denen zusätzliche Kontrollschichten wie Netzwerkkontrollen und Web Application Firewalls die Ausnutzung dieser Schwachstelle verhindert haben.

ACTICO-Software-Produkte
ACTICO führt eine produktspezifische Analyse der Auswirkungen von Log4J durch. Wenn ein ACTICO-Softwareprodukt betroffen ist, wird diese Nachricht aktualisiert, sobald eine Abhilfemaßnahme oder ein Fix verfügbar ist. Solche ACTICO-Produkte vor Ort müssen dann vom Kunden aktualisiert werden.

CVE-2021-44228 (log4j < 2.15.0):
Mehrere ACTICO Produkte enthielten betroffene Versionen der Log4J Bibliothek. Wir bieten jetzt aktualisierte Versionen der Produkte zum Download, die log4j 2.16.0 enthalten.

CVE-2021-45046 (log4j 2.15.0):
Diese Version der Log4J Bibliothek haben wir übersprungen und bieten jetzt aktualisierte Versionen der Produkte zum Download, die log4j 2.16.0 enthalten.

CVE-2021-45105 (log4J 2.16.0):
ACTICO Produkte sind nicht von dieser Schwachstelle betroffen, wenn Sie die im Produkt enthaltene Logging Konfiguration verwenden. Die Konfigurationen enthalten keine Kontext Lookups.
Aus diesem Grund plant ACTICO im Augenblick kein weiteres Notfall-Update der Produkte mit log4j 2.17.0, sondern macht das Update auf 2.17.0+ zu einem späteren Zeitpunkt.

 

ACTICO Professional Services
ACTICO Professional Services wird weiterhin direkt mit seinen Kunden zusammenarbeiten, um die Behebung von Problemen bei kundenspezifischen Anwendungen und Diensten durch seine Support-Prozesse zu unterstützen.

ACTICO-Cloud- und As-a-Service-Produkte
Bei den ACTICO-Cloud-Diensten behebt ACTICO verwaltete As-a-Service-Cloud-Angebote, selbst in Fällen, in denen zusätzliche Kontrollebenen wie Netzwerkkontrollen und Web Application Firewalls die Ausnutzung dieser Schwachstelle verhindert haben.
ACTICO fährt fort, alle verbleibenden Dienste, die Log4J verwenden, zu bewerten und zu beheben und zu überprüfen, ob die Schutzmaßnahmen weiterhin wirksam sind.

Wenn Sie spezielle Fragen haben, senden Sie bitte eine E-Mail an support@actico.com, um ein Ticket zu eröffnen.

 

ACTICO Platform 9.1

Die Komponenten von ACTICO Platform 9.1 sind betroffen von CVE-2021-44228.

Für Model Hub, Workplace und Execution Server empfehlen wir: Fügen Sie den Startskripten die empfohlene Abhilfemaßnahme hinzu.

Eine aktualisierte Version von ACTICO Platform 9.1, die log4j 2.16.0 verwendet, ist seit Montag, den 20. Dezember 2021 verfügbar. Wir empfehlen die Aktualisierung und empfehlen aber auch, die Abhilfemaßnahmen beizubehalten.

Beachten Sie, dass Ihre Modellprojekte ihre eigenen Bibliotheksabhängigkeiten definieren können, möglicherweise einschließlich der problematischen Versionen von Log4J2. Dies liegt außerhalb der Kontrolle von ACTICO.
Selbst wenn Sie die aktualisierte Version von ACTICO Platform 9 verwenden, die nur log4j 2.16 enthält, könnten Sie dennoch betroffen sein, wenn Ihre Modelle noch eine Abhängigkeit zu einer anfälligen Log4J2-Version haben.

Aus diesem Grund werden die Startskripte des aktualisierten Model Hub, Workplace und Execution Server weiterhin das System Property log4j2.formatMsgNoLookups=true enthalten. Wir werden diese Einstellung auch in Zukunft beibehalten, um unsere Kunden zu schützen und ihnen die Möglichkeit zu geben, bestehende Modelle und Bibliotheken weiter zu verwenden.

Zusätzlich verfügt die neue Engine über einen Mechanismus, um ihre eigene log4j 2.16.0 Version zu verwenden, auch wenn das Modell eine Abhängigkeit zu einer älteren Version definiert.

Laufzeiten: Rules Runtime und Rules DB Integrator (auch bekannt als DBC Runtime) sind nicht betroffen, wohl aber die DMN Runtime.

Kunden, die die ACTICO Engine in ihrer eigenen Anwendung einsetzen, wird empfohlen, die Java System Property log4j2.formatMsgNoLookups=true oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true in der Anwendung zu setzen, die die Engine einbindet.
Dies muss so lange beibehalten werden, wie ein Modell noch eine anfällige Log4J2-Bibliotheksversion verwendet.

 

Model Hub 8.1 und Modeler 8.1

Model Hub 8.1 und Modeler 8.1 sind betroffen von CVE-2021-44228.

Für Model Hub empfehlen wir: Fügen Sie die empfohlene Abhilfemaßnahme zu den Startskripten hinzu.

Eine aktualisierte Version von Model Hub 8.1 ist seit Montag, den 20. Dezember 2021 verfügbar und verwendet log4j 2.16.0.

Eine aktualisierte Version von Modeler 8.1 ist seit Freitag, den 17. Dezember 2021 verfügbar und verwendet log4j 2.16.0.

Rules Runtimes sind nicht betroffen.

 

Workplace 3.8

Workplace 3.8 ist betroffen von CVE-2021-44228.

Fügen Sie die Abhilfemaßnahme zu den Startskripten hinzu.

Eine neue Version von Workplace 3.8 ist seit Mittwoch, den 15. Dezember 2021 verfügbar, die log4j 2.16.0 verwendet.

Beachten Sie, dass Ihre Regelprojekte ihre eigenen Bibliotheksabhängigkeiten definieren können, möglicherweise einschließlich der problematischen Versionen von Log4J2. Dies liegt außerhalb der Kontrolle von ACTICO.
Selbst wenn Sie die kommende Version 3.8 von Workplace verwenden, die nur log4j 2.16 enthält, können Sie dennoch betroffen sein, wenn Ihre Modelle noch eine Abhängigkeit zu einer anfälligen Log4J2-Version haben.

Aus diesem Grund wird das Startskript der kommenden Workplace 3.8 Releases die Systemeigenschaft log4j2.formatMsgNoLookups=true enthalten. Wir werden diese Einstellung auch in Zukunft beibehalten, um unsere Kunden zu schützen und ihnen die Möglichkeit zu geben, bestehende Modelle und Bibliotheken weiter zu nutzen.

 

ACTICO Rules 6.8 (Modeler, Team Server, Execution Server, Identity Management)

ACTICO Rules 6.8 ist nicht betroffen.

Wir werden kein Update zur Verfügung stellen.

Beachten Sie, dass Ihre Regelprojekte ihre eigenen Bibliotheksabhängigkeiten definieren können, möglicherweise einschließlich der problematischen Versionen von Log4J2. Dies liegt außerhalb der Kontrolle von ACTICO.

Daher möchten Sie die empfohlenen Abhilfemaßnahmen ggf. dennoch auf den Applikationsserver (z. B. Tomcat) anwenden, auf dem Execution Server läuft.

 

Visual Rules 7.2 / 8.0

Visual Rules 7.2 / 8.0 ist nicht betroffen.

Wir werden kein Update zur Verfügung stellen.

Beachten Sie, dass Ihre Regelprojekte ihre eigenen Bibliotheksabhängigkeiten definieren können, möglicherweise einschließlich der problematischen Versionen von Log4J2. Dies liegt außerhalb der Kontrolle von ACTICO.
Daher möchten Sie die empfohlenen Abhilfemaßnahmen ggf. dennoch anwenden.