Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 12.12.2021 eine kritische Schwachstelle in log4j (CVE-2021-44228):
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3
Softwarehersteller SBE hat umgehend reagiert und sämtliche Softwarekomponenten in LogoDIDACT auf die Sicherheitslücke geprüft und entsprechende Maßnahmen eingeleitet.
Das Wichtigste vorab: LogoDIDACT bietet trotz seines enormen Umfangs nur wenige praxisrelevante Angriffsvektoren. Um aber auch diese zu verhindern, stehen seit 14.12.2021, 18:00 Uhr entsprechende Aktualisierungen und Handlungsanweisungen bereit, über die auch alle LogoDIDACT-Partner informiert wurden.
Kritische Komponente entfernen
Im gesamten LogoDIDACT-System gibt es eine einzige kritische Komponente, die im Zusammenhang mit dem gemeldeten Problem des BSI entfernt werden sollte!
Es handelt sich dabei um den Container graylog-g1, der als zentraler Logging-Dienst zur Verfügung steht. Da dieser Dienst aus anderen Gründen schon seit längerem vor der Ablösung steht, wurde er in der Vergangenheit nur im Modul LD Deploy genutzt und kann problemlos entfernt werden. In vielen Umgebungen ist der Container auch nicht aktiviert, weil die Logauswertung in der Regel ohnehin dezentral über die Arbeitsstationen erfolgt. Die Möglichkeit zur zentralen Fehleranalyse fehlt damit vorübergehend, ist aber eine unwesentliche Einschränkung. Deshalb besteht die pragmatische und schnelle Lösung darin, auf diesen Dienst zu verzichten. Alle übrigen Funktionen in LogoDIDACT bleiben in vollem Umfang erhalten.
Aktualisierung von log4j per ldupdate
Einige weitere Bausteine in LogoDIDACT nutzen log4j bisher in einer der betroffenen Versionen 2.0 bis 2.14.1. Dazu gehört die Komponente LD Control Service, die mit dem Control Center als graphischer Oberfläche in Verbindung steht. Ebenso nutzt auch unser LD Deploy Agent diese Protokollierungsbibliothek. Für beide Komponenten stellen wir kurzfristig aktuelle Updates bereit, um log4j auf eine nicht angreifbare Version aktualisieren zu können.
Das ist insbesondere dann wichtig, wenn Sie das LD Control Center über das Internet erreichbar gemacht haben, beispielsweise zur komfortablen Gruppenverwaltung für Microsoft Teams. Wir empfehlen daher dringend, die Server im Zusammenhang mit dem Entfernen des Containers graylog-g1 zu aktualisieren. Die Aktualisierung erfolgt wie gewohnt über ldupdate und die entsprechenden Befehle in den Containern.
Neben Graylog ist mit Unifi für das WLAN-Management eine weitere externe Komponente betroffen. Auch hier bieten wir bereits die Aktualisierung des Herstellers an und haben diese in das aktuelle Repo aufgenommen. Die Unterstützung für veraltete Versionen muss in diesem Zusammenhang aus Sicherheitsgründen entfernt werden.
Weitere Informationen des Herstellers finden Sie unter: https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1
Geprüfte Komponenten
Alle Komponenten, in denen log4j in der Version 1.0 zum Einsatz kommt, wurden auf eine mögliche schadhafte Konfiguration hin geprüft. Die Konfiguration der Protokollierung in den Containern puppeteer, audit und nexus-g1 war und ist jedoch korrekt und bietet keine Angriffsmöglichkeit. Weitere LogoDIDACT-Komponenten sind nicht betroffen.
