Themen in diesem Artikel
Einführung
DRACOON hat eine Reihe von Maßnahmen im Rahmen der bekannten Sicherheitslücken in log4j (CVEs), die in den letzten veröffentlicht wurden, ergriffen und befolgt dabei die offizielle Apache Log4j Security Vulnerabilities-Webseite: Apache Log4j Security Vulnerabilities.
Obwohl die meisten Komponenten der DRACOON-Produkte nicht betroffen sind, wurden alle empfohlenen Abhilfemaßnahmen umgesetzt, und es wurden neue Versionen für die Komponenten in DRACOON Server und DRACOON LTS 2019-1 veröffentlicht. Dies soll sicherstellen, dass sich keine Abhängigkeit einer verwendeten Bibliothek, die außerhalb der Kontrolle von DRACOON liegt, negativ auf das Produkt auswirkt.
Kunden, die noch DRACOON LTS 2019-1 einsetzen, müssen besonders aufmerksam diese neue Versionen beachten und ihre Umgebungen so schnell wie möglich aktualisieren.
Zusammengefasst wurden Maßnahmen eingeleitet, um die folgenden CVEs zu adressieren:
- CVE-2021-44228 - Die JNDI-Funktionen von Apache Log4j2 bieten keinen Schutz gegen von Angreifern kontrollierte LDAP und andere JNDI-bezogene Endpunkte
- CVE-2021-45046 - Apache Log4j2 Thread Context Lookup Pattern anfällig für entfernte Codeausführung in bestimmten, nicht standardmäßigen Konfigurationen
- CVE-2021-45105 - Apache Log4j2 schützt nicht immer vor unendlicher Rekursion in der Lookup-Auswertung;
- CVE-2021-44832 - Apache Log4j2 anfällig für entfernte Codeausführung in bestimmten, nicht standardmäßigen Konfigurationen
In den folgenden Tabellen sind die Produkte und Abhilfemaßnahmen aufgeführt, die Kunden implementieren müssen, um eine sichere Umgebung zu gewährleisten.
DRACOON Cloud
Alle Backend-Komponenten innerhalb der DRACOON Cloud wurden überprüft und gepatcht, auch wenn keine der Komponenten direkt durch die CVEs verwundbar waren: Keine Komponente verwendetet das betroffene Paket log4j-core oder nutzt es als Abhängigkeit.
DRACOON-Clients
Die DRACOON Cloud kann über verschiedene Endbenutzerschnittstellen genutzt werden. Die folgende Liste beschreibt alle DRACOON Produkte und deren Status.
Client
|
Version
|
Status
|
---|---|---|
DRACOON für Windows | Alle Versionen | nicht betroffen |
DRACOON für Mac | Alle Versionen | nicht betroffen |
DRACOON für Outlook | Alle Versionen | nicht betroffen |
DRACOON für Teams | Alle Versionen | nicht betroffen |
DRACOON für Zapier | Alle Versionen | nicht betroffen |
DRACOON für iOS | Alle Versionen | nicht betroffen |
DRACOON für Android | Alle Versionen | nicht betroffen |
Tabelle zuletzt aktualisiert am: 21. Dez 2021
DRACOON Server
Alle Komponenten innerhalb des DRACOON Servers wurden überprüft und weiter gepatcht, auch wenn sie nicht direkt durch die CVEs verwundbar waren: Keine Komponente verwendetet das betroffene Paket log4j-core oder nutzt es als Abhängigkeit. Führen Sie "yum update" auf Ihren DRACOON Server Instanzen aus, um alle aktuellen Sicherheitspatches zu installieren.
Wichtig
Alle Komponenten innerhalb des DRACOON Servers wurden überprüft und weiter gepatcht, auch wenn sie nicht direkt durch die CVEs verwundbar sind. Führen Sie "yum update" auf Ihren DRACOON Server-Instanzen aus, um alle aktuellen Sicherheits-Patches zu installieren.
Die folgenden Mitigations sind gegen alle 4 bekannten log4j CVEs sicher: CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832.
Weitere Informationen zur Aktualisierung Ihrer DRACOON Server-Instanz finden Sie hier: https://server.support.dracoon.com/hc/de/articles/4405085887378
Software | Service | Betroffene Version | Maßnahmen |
---|---|---|---|
Backend |
DRACOON Core | 4.26.6 und darunter |
Upgrade auf 4.26.7 |
DRACOON OAuth Service | 4.20.5 und darunter | Upgrade auf 4.20.6 | |
DRACOON Branding Service | 1.4.1 und darunter | Upgrade auf 1.4.2 | |
DRACOON Admin Service | 1.0.2 und darunter | Upgrade auf 1.0.3 | |
DRACOON-Lizenzdienst | 1.0.1 und darunter | Upgrade auf 1.0.2 | |
DRACOON WebDAV Proxy | 5.4.1 und darunter | Upgrade auf 5.4.2 | |
Worker |
DRACOON Webhook Dispatcher | 1.1.5 und darunter | Upgrade auf 1.1.6 |
DRACOON Webhook Worker | 1.1.3 und darunter | Upgrade auf 1.1.4 | |
DRACOON Message Sender Worker | 1.4.3 und unten | Upgrade auf 1.4.4 | |
DRACOON Mail Notification Dispatcher | 1.2.3 und darunter | Upgrade auf 1.2.4 | |
DRACOON S3 CMUR Worker | 1.4.1 und darunter | Upgrade auf 1.5.0 | |
Web App | DRACOON Web-Anwendung | 5.12.5 und darunter | Upgrade auf 5.12.6 |
DRACOON Branding Web App | 1.8.0 und darunter | Upgrade auf 1.8.1 |
Tabelle zuletzt aktualisiert am: 21 Dec 2021
DRACOON LTS 2019-1
Wichtig
Kunden müssen alle aktualisierten Services so schnell wie möglich aktualisieren! Es muss für jede Komponente sichergestellt werden, dass die aktuellste Patch-Version verwendet wird.
Die unten aufgeführten Versionen bzw. Maßnahmen sind sicher gegen alle 4 bekannten log4j-Sicherheitslücken: (CVEs) CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832.
Software | Service | Betroffene Version | Maßnahme |
---|---|---|---|
Backend | DRACOON Core | 4.12.12 und niedriger |
Upgrade auf 4.12.12-noJndiLookup |
DRACOON OAuth Service | 4.12.4 und niedriger |
Upgrade auf 4.12.4-LTS-noJndiLookup |
|
DRACOON Branding Service | nicht betroffen |
- |
|
DRACOON WebDAV Proxy | 5.2.3-LTS und niedriger |
Upgrade auf 5.2.4-LTS |
|
Web-App | DRACOON Web App | nicht betroffen | - |
DRACOON Branding Web App | nicht betroffen | - | |
Clients |
DRACOON für Outlook | nicht betroffen | - |
DRACOON für Teams | nicht betroffen | - | |
DRACOON für iOS |
nicht betroffen | - | |
DRACOON für Android | nicht betroffen | - | |
DRACOON für Windows | nicht betroffen |
- |
|
DRACOON für Mac | nicht betroffen | - |
Tabelle zuletzt aktualisiert am: 21. Dez 2021
Update der Komponenten für LTS 2019-1
Bitte befolgen Sie die Anweisungen in den entsprechenden Artikeln:
DRACOON SDKs
Bibliothek
|
Betroffene Version
|
---|---|
C# SDK | nicht betroffen |
C# Crypto SDK | nicht betroffen |
Java SDK | nicht betroffen |
Java Crypto SDK | nicht betroffen |
Swift SDK | nicht betroffen |
Swift Crypto SDK | nicht betroffen |
JavaScript Crypto SDK | nicht betroffen |
Tabelle zuletzt aktualisiert am: 21. Dez 2021
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.