Update 14.12.2021

Log4j Schwachstelle (CVE-2021-44228)

Es geht um eine kritisch eingestufte Sicherheitslücke in der Logging-Bibliothek Log4j bis einschließlich Version 2.14. Zusätzliche Informationen können beim BSI eingesehen werden.

Im Folgenden finden Sie eine Beschreibung der durchgeführten Schwachstellentests.

Weitere Hinweise zu von Softproject durchgeführten Schwachstellen-Tests

Mögliche Meldungen bei Schwachstellentests

Sicherheitsscanner können fälschlicherweise die Klasse de.softproject.integration.util.JNDILookup.class in der X4-Client.jar-Datei als Sicherheitslücke erkennen. Die Klasse steht in keinem Zusammenhang zu Log4j. Sollten Sie diese Meldung erhalten, können Sie diese Meldung ignorieren.

Der Local-Log4j-Vuln-Scanner findet fälschlicherweise die Klasse JNDIManager aus dem Paket narayana-jts-idlj und gibt eine entsprechende Meldung aus. Die Klasse steht in keinem Zusammenhang zu Log4j. Sollten Sie diese Meldung erhalten, können Sie diese Meldung ignorieren.

Information über WildFly

WildFly ist nicht betroffen. Die offizielle Kommunikation ist auf der Webseite von WildFly verfügbar.

WildFly/JBoss verwendet die Log4j API, bringt aber eine eigene Implementierung auf Basis von Log4j 1.x mit (Log4j-JBoss-logmanager-1.x.x.Final.jar) mit. Damit wird die betroffene Log4j2 Core Implementierung nicht verwendet.

Von SoftProject durchgeführte Prüfungen

Wir haben geprüft, ob die X4 BPMS von der kritisch eingestuften Sicherheitslücke betroffen ist. Das Ergebnis unserer Prüfung hat ergeben, dass die X4 BPMS von der Sicherheitslücke nicht betroffen ist.

PrüfungErgebnis
Suche nach der Klasse org.apache.logging.Log4j.core.net.JndiManager.class für die Log4j Version 2.x in unseren Installationen.Keine Treffer für diese Klasse im gesamten WildFly.
Prüfung, ob eine Log4j Version 1 vorhanden ist (aufgrund von Hinweisen von BSI). Suche nach der Klasse org.apache.Log4j.Appender für die Log4j Version 1.x in unseren Installationen.Es ist kein Standard Log4j 1 vorhanden. Nur die JBoss-Implementierung wurde gefunden. Diese ist nicht betroffen.
Prüfung, ob eine Log4j Version 2 vorhanden ist. Suche nach der Klasse org.apache.logging.Log4j.core.Appender für die Log4j Version 2.x in unseren InstallationenKeine Treffer für diese Klasse im gesamten WildFly.
Durchführung des local-Log4j-vuln-scanner.
Der Local-Log4j-Vuln-Scanner findet fälschlicherweise die Klasse „JNDIManager“ aus dem Paket „narayana-jts-idlj“ und gibt eine entsprechende Meldung aus. Die Klasse steht in keinem Zusammenhang zu Log4j. Sollten Sie diese Meldung erhalten, können Sie diese Meldung ignorieren.
Keine Treffer für diese Klasse im gesamten WildFly.

Ursprüngliche Meldung vom 13.12.2021

Am 9. Dezember 2021 wurde eine Schwachstelle in Apache log4j 2 (RCE) festgestellt. Es wurde ein Proof-of-Concept-Code (PoC) veröffentlicht und eine anschließende Untersuchung ergab, dass die Ausnutzung einfach durchzuführen war. Durch das Senden einer speziell gestalteten Anfrage an ein anfälliges System kann ein Angreifer je nach Konfiguration des Systems dieses System anweisen, eine bösartige Nutzlast herunterzuladen und anschließend auszuführen.

Das BSI schätzt die Bedrohungslage als extrem kritisch ein.

Betroffen von der Schwachstelle sind die log4j-Versionen 2.0 bis 2.14.1. Unsere Prüfungen haben ergeben, dass die X4 Suite-Versionen 5.5., 5.8, 6.x und die X4 BPMS-Versionen 7.x sowie darauf aufbauende Lösungen (z. B. X4 BiPRO Server) von der Schwachstelle nicht betroffen sind. Der von SoftProject mitgelieferte Wildfly Application Server ist ebenfalls nicht betroffen, da hier eine log4j-Implementierung zum Einsatz kommt, die die Schwachstelle nicht enthält. Informationen zu älteren Versionen der X4 Suite liefern wir gerne auf Anfrage. Ebenfalls nicht betroffen sind die ab Version 7.x eingesetzten Keycloak-Versionen.

Wir empfehlen trotzdem die Option „log4j2.formatMsgNoLookups“ auf „true“ zu setzen, indem die Java Virtual Machine mit dem Argument „–Dlog4j2.formatMsgNoLookups=True” gestartet wird. So kann verhindert werden, dass bei ggf. bauseits hinzugefügten, aktuelleren log4j-Versionen die Schwachstelle ausgenutzt wird.

Ab Version 6.x stellen wir auf Anfrage zusätzlich einen X4-Adapter zur Verfügung, den Sie als Kunde nutzen können, um Ihre Installation der X4 Suite bzw. X4 BPMS selbst zu prüfen.

Darüber hinaus empfehlen wir bei On-Premises-Lösungen, alle umliegenden Systeme wie z. B. bauseitige Web-Server oder Proxy-Server auf die o. g. Schwachstelle zu untersuchen.

Für Kunden, die unseren Software as a Service (SaaS) nutzen, besteht keine akute Bedrohung. Die Services stehen weiterhin uneingeschränkt zur Verfügung. Weitere Sicherheitsmaßnahmen werden in einem kurzfristigen Wartungsfenster umgesetzt. Hierzu benachrichtigen wir Sie separat.

Falls Sie Unterstützung für On-Premises-Systeme benötigen, wenden Sie sich bitte an unseren Support unter fhccbeg@fbsgcebwrpg.qr oder unter +49 7243 56175-333.

Weitere Informationen dazu finden Sie auch beim Bundesamt für Sicherheit in der Informationstechnik.

Haben Sie noch Fragen?


    Ihr Ansprechpartner

    SoftProject-Support-Team