log4j customer information [CVE-2021-44228], [CVE-2021-45046], [CVE-2021-45105], [CVE 2021-44832]

Einführung

DRACOON hat eine Reihe von Maßnahmen im Rahmen der bekannten Sicherheitslücken in log4j (CVEs), die in den letzten veröffentlicht wurden, ergriffen und befolgt dabei die offizielle Apache Log4j Security Vulnerabilities-Webseite: Apache Log4j Security Vulnerabilities. 

Obwohl die meisten Komponenten der DRACOON-Produkte nicht betroffen sind, wurden alle empfohlenen Abhilfemaßnahmen umgesetzt, und es wurden neue Versionen für die Komponenten in DRACOON Server und DRACOON LTS 2019-1 veröffentlicht. Dies soll sicherstellen, dass sich keine Abhängigkeit einer verwendeten Bibliothek, die außerhalb der Kontrolle von DRACOON liegt, negativ auf das Produkt auswirkt.

Kunden, die noch DRACOON LTS 2019-1 einsetzen, müssen besonders aufmerksam diese neue Versionen beachten und ihre Umgebungen so schnell wie möglich aktualisieren.

Zusammengefasst wurden Maßnahmen eingeleitet, um die folgenden CVEs zu adressieren:

• CVE-2021-44228 - Die JNDI-Funktionen von Apache Log4j2 bieten keinen Schutz gegen von Angreifern kontrollierte LDAP und andere JNDI-bezogene Endpunkte
• CVE-2021-45046 - Apache Log4j2 Thread Context Lookup Pattern anfällig für entfernte Codeausführung in bestimmten, nicht standardmäßigen Konfigurationen
• CVE-2021-45105 - Apache Log4j2 schützt nicht immer vor unendlicher Rekursion in der Lookup-Auswertung;
• CVE-2021-44832 - Apache Log4j2 anfällig für entfernte Codeausführung in bestimmten, nicht standardmäßigen Konfigurationen

In den folgenden Tabellen sind die Produkte und Abhilfemaßnahmen aufgeführt, die Kunden implementieren müssen, um eine sichere Umgebung zu gewährleisten.

DRACOON Cloud

Alle Backend-Komponenten innerhalb der DRACOON Cloud wurden überprüft und gepatcht, auch wenn keine der Komponenten direkt durch die CVEs verwundbar waren: Keine Komponente verwendetet das betroffene Paket log4j-core oder nutzt es als Abhängigkeit.

DRACOON-Clients

Die DRACOON Cloud kann über verschiedene Endbenutzerschnittstellen genutzt werden. Die folgende Liste beschreibt alle DRACOON Produkte und deren Status.

Client	Version	Status
DRACOON für Windows	Alle Versionen	nicht betroffen
DRACOON für Mac	Alle Versionen	nicht betroffen
DRACOON für Outlook	Alle Versionen	nicht betroffen
DRACOON für Teams	Alle Versionen	nicht betroffen
DRACOON für Zapier	Alle Versionen	nicht betroffen
DRACOON für iOS	Alle Versionen	nicht betroffen
DRACOON für Android	Alle Versionen	nicht betroffen

Tabelle zuletzt aktualisiert am: 21. Dez 2021

 

DRACOON Server

Alle Komponenten innerhalb des DRACOON Servers wurden überprüft und weiter gepatcht, auch wenn sie nicht direkt durch die CVEs verwundbar waren: Keine Komponente verwendetet das betroffene Paket log4j-core oder nutzt es als Abhängigkeit. Führen Sie "yum update" auf Ihren DRACOON Server Instanzen aus, um alle aktuellen Sicherheitspatches zu installieren.

Die folgenden Mitigations sind gegen alle 4 bekannten log4j CVEs sicher: CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832.

Weitere Informationen zur Aktualisierung Ihrer DRACOON Server-Instanz finden Sie hier: https://server.support.dracoon.com/hc/de/articles/4405085887378

Software	Service	Betroffene Version	Maßnahmen
Backend	DRACOON Core	4.26.6 und darunter	Upgrade auf 4.26.7
	DRACOON OAuth Service	4.20.5 und darunter	Upgrade auf 4.20.6
	DRACOON Branding Service	1.4.1 und darunter	Upgrade auf 1.4.2
	DRACOON Admin Service	1.0.2 und darunter	Upgrade auf 1.0.3
	DRACOON-Lizenzdienst	1.0.1 und darunter	Upgrade auf 1.0.2
	DRACOON WebDAV Proxy	5.4.1 und darunter	Upgrade auf 5.4.2
Worker	DRACOON Webhook Dispatcher	1.1.5 und darunter	Upgrade auf 1.1.6
	DRACOON Webhook Worker	1.1.3 und darunter	Upgrade auf 1.1.4
	DRACOON Message Sender Worker	1.4.3 und unten	Upgrade auf 1.4.4
	DRACOON Mail Notification Dispatcher	1.2.3 und darunter	Upgrade auf 1.2.4
	DRACOON S3 CMUR Worker	1.4.1 und darunter	Upgrade auf 1.5.0
Web App	DRACOON Web-Anwendung	5.12.5 und darunter	Upgrade auf 5.12.6
	DRACOON Branding Web App	1.8.0 und darunter	Upgrade auf 1.8.1

Tabelle zuletzt aktualisiert am: 21 Dec 2021

DRACOON LTS 2019-1

Die unten aufgeführten Versionen bzw. Maßnahmen sind sicher gegen alle 4 bekannten log4j-Sicherheitslücken: (CVEs) CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832.

Software	Service	Betroffene Version	Maßnahme
Backend	DRACOON Core	4.12.12 und niedriger	Upgrade auf 4.12.12-noJndiLookup
	DRACOON OAuth Service	4.12.4 und niedriger	Upgrade auf 4.12.4-LTS-noJndiLookup
	DRACOON Branding Service	nicht betroffen	-
	DRACOON WebDAV Proxy	5.2.3-LTS und niedriger	Upgrade auf 5.2.4-LTS
Web-App	DRACOON Web App	nicht betroffen	-
	DRACOON Branding Web App	nicht betroffen	-
Clients	DRACOON für Outlook	nicht betroffen	-
	DRACOON für Teams	nicht betroffen	-
	DRACOON für iOS	nicht betroffen	-
	DRACOON für Android	nicht betroffen	-
	DRACOON für Windows	nicht betroffen	-
	DRACOON für Mac	nicht betroffen	-

Tabelle zuletzt aktualisiert am: 21. Dez 2021

Update der Komponenten für LTS 2019-1

Bitte befolgen Sie die Anweisungen in den entsprechenden Artikeln:

• Spring-Boot-Installation
• Docker-Installation

DRACOON SDKs

Bibliothek	Betroffene Version
C# SDK	nicht betroffen
C# Crypto SDK	nicht betroffen
Java SDK	nicht betroffen
Java Crypto SDK	nicht betroffen
Swift SDK	nicht betroffen
Swift Crypto SDK	nicht betroffen
JavaScript Crypto SDK	nicht betroffen

Tabelle zuletzt aktualisiert am: 21. Dez 2021