Sehr geehrte Damen und Herren,

das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine potentielle Sicherheitslücke kommuniziert, die in den Medien aktuell sehr präsent ist. Dort benannte Bibliothek log4j ist bei vielen namhaften Herstellern im Einsatz und dient der Protokollierung von Java-Anwendungen.

Die Aufgabenstellung für Sie bzw. Ihre IT:

Bitte prüfen Sie anhand der differenzierten Produktliste, ob die von Ihnen eingesetzten Lösungen potentiell betroffen sind und welche Maßnahmen / Patches von VEDA jeweils empfohlen werden.

Im Folgenden finden Sie alle für Sie aktuellen Informationen.


Sicherheitslücke in log4j-Bibliothek (CVE-2021-44228 und folgende) - Betroffene VEDA Produkte

Der Großteil der VEDA Produkte ist in JAVA implementiert und nutzt auch die log4j Bibliothek. Aufgrund der jeweils genutzten Version dieser Bibliothek sind nicht alle Produkte betroffen. Das Apache Projekt hat innerhalb von 2 Wochen drei neue Versionen gefixte Versionen der Bibliothek bereitgestellt. VEDA stellt für die betroffenen Produkte Updates mit der log4j Version 2.17.0 bereit (Stand 22.12.21).

Die folgende Tabelle gibt darüber Aufschluss, welche Produkte log4j nutzen, wie sie betroffen sind und in welcher Version log4j 2.17.0 enthalten ist. Wir empfehlen in jedem Fall die Installation der jeweilige Version mit log4j 2.17.0.


VEDA Produkte mit log4j im Einsatz

Wir arbeiten aktuell mit Hochdruck daran, Ihnen für die betroffenen Produkte Patches anzubieten.

Tabelle aktualisiert am 22.12., 11:20 Uhr.

Produkt Betroffen aufgrund genutzter log4j Version Fix-Version
VEDA Horizon
(bis Version 1.147.0)
ja - log4j < 2.15 mit log4j 2.17.0 verfügbar:
1.147.0.5
VEDA Bildungsmanager
(bis Version 60.1.12, 60.2.09 & 61.0.0)
ja - log4j < 2.15 mit log4j 2.15.0 verfügbar:
60.1.14, 60.2.11 & 61.0.1
mit log4j 2.17.0 verfügbar:
60.1.15, 60.2.11
spätestens am 23.12.21: 61.0.2
VEDA HR Entgelt
(in den Varianten VEDA j-ware
und VEDA j-ware for System i)
teilweise - betroffenen Komponenten:
- loh-service-api.war bei Nutzung für CareFlex *
- Kernprüfung für berufsständisch Versicherte (BV) **
globale Implementierung: log4j 1.2
(als problematisch angesehene Konfiguration nicht in Verwendung)
Bereitstellung:
- CareFlex: log4j 2.16
mit Update 16.12.21 ausgeliefert

- Kernprüfung (BV):
mit log4j 2.15:
mit Update 16.12.21 ausgeliefert
VEDA HR Zeit
(in den Varianten VEDA j-ware
und VEDA j-ware for System i)
nein - log4j 1.2
(als problematisch angesehene Konfiguration
nicht in Verwendung)
-
VEDA HR Manager / DATEV PMS
(Webmodul & BewerbIS@Web Schnittstelle)
nein - log4j 1.2
(als problematisch angesehene Konfiguration
nicht in Verwendung)
-
VEDA UpdateManager nein - log4j 1.2
(als problematisch angesehene Konfiguration
nicht in Verwendung)
-

* Unsere Kunden, die Careflex nutzen, können theoretisch in bestimmten Konstellationen betroffen sein. Zur Nutzung von CareFlex muss diese Komponente aktiv eingerichtet worden sein.

** VEDA HR Entgelt bindet die Kernprüfung für berufsständisch Versicherte (BV) des Herstellers DASBV ein. Die bereitgestellten Patches durchlaufen unseren Qualitätssicherungsprozess.


Apache Tomcat (eingesetzter Anwendungsserver)

Der für VEDA Produkte eingesetzte Anwendungsserver Apache Tomcat selber nutzt zum Logging die Bibliothek JULI und nicht log4j. Er ist in der Folge im Standard von VEDA Installationen nicht betroffen.

Theoretisch kann der Tomcat betroffen sein, falls die Tomcat-Instanz auf das Logging per log4j umgestellt wurde. Das ist zu erkennen, wenn die Bibliothek log4j-core2.x.jar im [Tomcat]\lib Verzeichnis enthalten ist. In dem Fall kann die log4j-Version im Tomcat direkt auf die Version 2.17.0 aktualisiert werden.


Temporäre Absicherung, bis Patches für die betroffenen Produkte bereitgestellt werden

Die folgenden Vorschläge basieren auf den aktuell öffentlich verfügbaren Erkenntnissen im Kontext der VEDA Produkte.

VEDA Horizon

Um VEDA Horizon temporär abzusichern reicht es, folgenden Java Start Parameter zu setzen und den Tomcat neu zu starten:

 

-Dlog4j2.formatMsgNoLookups=true

 

Mit diesem Parameter wird log4j die problematischen Lookups nicht ausführen und kann weder Code nachladen, noch vorhandenen Code ausführen.
Einstellung für Windows Dienste sehen Sie im Bild links. 

Unter Unix-artigen Betriebssystemen, muss das jeweilige Startskript (startup.sh bzw. setenv.sh, tomcat_start.sh) mit dem Parameter erweitert werden.

Ob der Parameter beim Start Anwendung findet, kann im catalina-log überprüft werden.


VEDA Bildungsmanager inkl. WebGate

Um VEDA Bildungsmanager und das Webgate (log4j 2.8.x) temporär abzusichern reicht es nicht aus, den Java Start Parameter zu setzen (erst ab 2.10 vorhanden). Hier muss die Klasse aus dem JAR gelöscht werden (hier per 7zip) und der Tomcat neu gestartet werden.

Per zip Befehl (im WEB-INF\lib-Verzeichnis der Anwendung):

 

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class