Beiträge

Cyber Security Middle Banner Delta Controls Germany

In den Log4J Exploit Nachrichten überschlagen sich momentan die Meldungen über einen kritischen Fehler in einer Java Logging Bibliothek.

Wir haben unsere Java basierten Anwendungen geprüft und können hier vorerst Entwarnung geben:

Unsere Java Anwendungen scheinen Stand heute nicht von einem Exploit betroffen zu sein.

Betroffen von dem aktuell kursierenden Exploit ist die log4j-core Bibliothek

(vgl. https://nvd.nist.gov/vuln/detail/CVEDMS/-2021DMS/-44228)

Wir verwenden in unseren Anwendungen slf4j mit der logback Bibliothek, das lediglich die log4j API verwendet, um die Funktionalität für andere Bibliotheken bereitzustellen.

Die Log4J core Bibliothek, die angreifbar ist für den genannten Exploit, wird nicht verwendet. (http://slf4j.org/log4shell.html)

Des Weiteren wurden die angreifbaren Java Versionen für das Nachladen von Code über einen LDAP Server eingegrenzt: (vgl. https://www.lunasec.io/docs/blog/log4j-zero-day/ und https://nvd.nist.gov/vuln/detail/CVEDMS/-2021DMS/-44228)

„JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load remote code using LDAP.”

“Java 8u121 (see https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) protects against remote code execution by defaulting “com.sun.jndi.rmi.object.trustURLCodebase” and “com.sun.jndi.cosnaming.object.trustURLCodebase” to “false”.”

Genauere Informationen zu unseren Java basierten Anwendungen:

  • enteliSAVE
    • Verwendet slf4j mit logback und log4j bridge, keine Abhängigkeit zu log4j-core
    • Verwendet mit Instanz Version 1.4.2 java 8u265 -> Code nicht über LDAP nachladbar
    • ActiveMQ verwendet log4j 1, das nicht von der Lücke betroffen ist
  • Devicemonitor
    • Verwendet slf4j mit logback und log4j bridge, keine Abhängigkeit zu log4j-core
    • Verwendet eine veraltete Java Version, wird mit dem nächsten Update aktualisiert,
      aber da keine Abhängigkeit zum log4j-core besteht (s.o.) wird die Bedrohung als gering eingestuft
  • Trendlog Manager
    • Verwendet slf4j mit logback und log4j bridge, keine Abhängigkeit zu log4j-core
    • Verwendet seit 1.7.15 java 11.0.11 -> Code nicht über LDAP nachladbar
  • Dpcounter (ab 1.8.1)
    • Verwendet slf4j mit logack und log4j bridge, keine Abhängigkeit zu log4j-core
    • Hier liefern wir keine separate java Laufzeitumgebung mit
  • Birt Reporting
    • Die Birt Report Engine in enteliWEB verwendet kein log4j
  • enteliWEB
    • Es werden in enteliWEB keine Java basierten Anwendungen verwendet, die von dem log4j Exploit betroffen sind

Wie behalten die aktuelle Situation im Auge und nehmen sie zum Anlass, die Versionen unserer verwendeten Bibliotheken zu prüfen und zu aktualisieren.

Des Weiteren weisen wir darauf hin, dass die Modulversionen geprüft und ggf. aktualisiert werden sollten.

Sie erhalten zusätzlich aus unserer Entwicklung in Kanada ein offizielles Statement zu diesem Exploit, den sie unter dem folgenden Link aufrufen können:

https://www.deltacontrols.de/media/newsletter/log4j_vulnerability_delta_controls_statement.pdf

Cyber Security Middle Banner Delta Controls Germany

Am 29.03.2022 wurde bekannt gegeben, dass es eine neue potentielle Sicherheitslücke in den von uns verwendeten Frameworks gibt.

Spring4Shell Exploit – hierzu folgende Hinweise:

https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

Das betroffene Framework wird in den folgenden Services verwendet:

  • enteliSAVE
  • TrendlogManager
  • DeviceMonitor
  • DPCounter

Spring4Shell Exploit: Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVEDMS/-2022DMS/-22965 nicht angreifbar

Ein Patch für die betroffenen Module wird kurzfristig zur Verfügung gestellt.

Historie:

11. Mai 2022:    DCGSECDMS/-1     Updates für enteliSAVE, enteliWEB Module DeviceMonitor und enteliSAVE wurden zu Verfügung gestellt. Diese beinhalten alle notwendigen Fixes für die Exploits Spring4Shell und Log4Shell

01. April 2022:    DCGSECDMS/-1      enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter  Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVEDMS/-2022DMS/-22965 nicht angreifbar. Trotzdem werden wir in den nächsten Tagen neue Versionen unserer Produkte releasen in denen wir eine gepatchte Spring Core Version verwenden werden.

31. März 2022:   DCGSECDMS/-1     enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter  Es liegen Informationen über eine Schwachstelle in der von den aufgeführten Produkten verwendeten Java Bibliothek „Spring Core“ vor. Es ist noch kein Patch verfügbar. Wir prüfen die weitere Entwicklung und informieren Sie an dieser Stelle, sobald uns neue Informationen vorliegen.