Sicherheitsproblem: Am 10. Dezember 2021 wurde eine Sicherheitslücke mit kritischem Schweregrad in Log4j identifiziert, die zu Remotecodeausführung führen kann.
Betroffene Pakete:
- org.apache.logging.log4j:log4j-api <2.15.0
- org.apache.logging.log4j:log4j-core <2.15.0
CVE: CVE-2021-44228
Update 20.12.2021
Wir haben für beide on-Premises-Versionen entsprechende Updates zur Verfügung gestellt, die die unten genannten Schritte ersetzen.
Bitte führen Sie unten genannten Schritte zwingend durch, um die Sicherheit Ihrer Umgebung zu gewährleisten:
1. DRACOON Server
Für DRACOON Server wurden die Versionen in das Repository hinzugefügt.
Es muss daher ein Update über yum update durchgeführt werden.
2. DRACOON 2019-1 LTS
Für die LTS-Version 2019-1 haben wir entsprechende neue Versionen für
- DRACOON WebDAV
- DRACOON OAuth Service
- DRACOON Core Service
veröffentlicht.
Bitte befolgen Sie die zur Verfügung gestellten Anleitungen:
Update 15.12.2021
Weitere Analyse hat ergeben, dass eine Komponente der DRACOON-Version LTS 2019-1, namentlich der DRACOON WebDAV-Proxy, log4j aktiv verwendet und daher im Rahmen von CVE-2021-4428 verwundbar ist.
Die unten aufgeführten Maßnahmen sind daher zwingend zu befolgen, um die Sicherheit der Umgebung zu gewährleisten.
Dies gilt ausschließlich für oben genannte Version LTS 2019-1 (DRACOON Core 4.12.x, DRACOON für WebDAV Version 5.2.2).
Auswirkung auf DRACOON
Unsere internen Untersuchungen haben ergeben, dass diese Schwachstelle keine der Cloud-Produkte von DRACOON betrifft. Anstelle von Log4j verwendet DRACOON ein Ersatzprojekt namens Logback.
Das gilt sowohl für die DRACOON Cloud als auch für DRACOON Server.
Mitigation
Als Maßnahme wurden alle Dienste der DRACOON Cloud gemäß den von RedHat bereitgestellten Abhilfemaßnahmen aktualisiert: CVE-2021-44228
Es wird dringend empfohlen, dass DRACOON-Kunden, die ihre eigenen DRACOON Server-Instanzen betreiben, dies umgehend ebenfalls durchführen.
Anleitung für On-Premises-Kunden
- DRACOON Server (neue Version)
- Im Verzeichnis /etc/dracoon muss in allen .env-Dateien (außer database-backup. env) der Eintrag -Dlog4j2.formatMsgNoLookups=true ergänzt werden, so dass der Inhalt wie folgt aussieht:
JAVA_OPTIONS="-Dlog4j2.formatMsgNoLookups=true -Xmx1G ..." - Alle DRACOON-Dienste müssen neu gestartet werden (alternativ können Sie die VM neu starten):
- dracoon-admin-service.service
- dracoon-branding-service.service
- dracoon-branding-web-app.service
- dracoon-core-service.service
- dracoon-mail-notification-dispatcher.service
- dracoon-message-sender-worker.service
- dracoon-oauth-service.service
- dracoon-s3-cmur-worker.service
- dracoon-web-app.service
- dracoon-webdav-proxy.service
- dracoon-webhook-dispatcher.service
- dracoon-webhook-worker.service
- Im Verzeichnis /etc/dracoon muss in allen .env-Dateien (außer database-backup. env) der Eintrag -Dlog4j2.formatMsgNoLookups=true ergänzt werden, so dass der Inhalt wie folgt aussieht:
- DRACOON 2019-1 LTS (kein Docker - Spring Boot)
- Der Eintrag -Dlog4j2.formatMsgNoLookups=true muss in /etc/tomcat/tomcat.conf ergänzt werden:
...
#Zusätzliche java-Optionen JAVA_OPTS="-Dlog4j2.formatMsgNoLookups=true ..."
... - Der Eintrag -Dlog4j2.formatMsgNoLookups=true muss außerdem in folgenden systemd-Dateien
- /usr/lib/systemd/system/dracoon-branding.service
- /usr/lib/systemd/system/dracoon-branding-ui.service
- /usr/lib/systemd/system/dracoon-core.service
- /usr/lib/systemd/system/dracoon-oauth.service
- /usr/lib/systemd/system/dracoon-webdav.service
...
ExecStart=/usr/bin/java -Dlog4j2.formatMsgNoLookups=true -Xmx1024M ...
... - Die systemd-Dateien müssen über
systemctl daemon-reloadneu geladen werden. - Die DRACOON-Dienste und der Tomcat müssen neu gestartet werden. Alternativ kann auch die VM neu gestartet werden.
- Der Eintrag -Dlog4j2.formatMsgNoLookups=true muss in /etc/tomcat/tomcat.conf ergänzt werden:
- DRACOON 2019-1 LTS (Docker)
- In der Datei /usr/share/dracoon/.env muss der Eintrag -Dlog4j2.formatMsgNoLookups=true in folgenden Variablen ergänzt werden:
DRACOON_CORE_JAVA_OPTS=-Xmx2048M -Dlog4j2.formatMsgNoLookups=true ...DRACOON_WEBUI_JAVA_OPTS=-Xmx1024M -Dlog4j2.formatMsgNoLookups=true ...DRACOON_WEBDAV_JAVA_OPTS=-Xmx1024M -Dlog4j2.formatMsgNoLookups=true ...DRACOON_OAUTH_JAVA_OPTS=-Xmx1024M -Dfile.encoding=UTF-8 -Dlog4j2.formatMsgNoLookups=true ...DRACOON_INSTABRAND_SERVICE_JAVA_OPTS=-Xmx1024M -Dlog4j2.formatMsgNoLookups=true ...DRACOON_INSTABRAND_UI_JAVA_OPTS=-Xmx1024M -Dlog4j2.formatMsgNoLookups=true ... - Danach müssen die Container im Ordner mit der neuen .env-Datei über
docker-compose up -dneu gestartet werden.
- In der Datei /usr/share/dracoon/.env muss der Eintrag -Dlog4j2.formatMsgNoLookups=true in folgenden Variablen ergänzt werden:
Behebung
Für Cloud-Kunden besteht kein Handlungsbedarf – DRACOON hat bereits entsprechende Maßnahmen ergriffen. Für On-Premises-Kunden gelten die oben aufgeführten Mitigationsschritte abhängig von der verwendeten Version.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.