Apple, Twitter, Amazon: Von der Sicherheitslücke in der Java-Bibliothek Log4j sind fast alle Web Services betroffen. Noch bevor das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe ausgerufen hat, sind bei AEB sämtliche Sicherheitsmaßnahmen angelaufen. Die AEB-Spezialisten haben die Systeme untersucht und bei Bedarf Patches oder Abwehrmechanismen implementiert.
Der aktuelle Stand - Update 28.02.2022
Da keine wesentlichen neuen Erkenntnisse bezüglich neuer und kritischer Log4j-Lücken bekannt sind, werden wir voraussichtlich keine weiteren Aktualisierungen an diesem Artikel vornehmen. Alle weiteren Schwachstellen zu Log4j werden von AEB wieder im Rahmen des normalen Vulnerability Prozesses bearbeitet.
Neue Erkenntnisse zu Log4j werden konstant beobachtet und die Systeme entsprechend
geschützt/gepatcht. Auch auf die weiteren entdeckten kritischen Schwachstellen reagiert AEB unverzüglich.
Es gilt weiterhin: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücken sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch für on Premise-Installationen.
Unsere Maßnahmen, die hier genannt sind, adressieren in Log4j1 Version 1.x insbesondere die Schwachstellen:
- CVE-2019-17571
- CVE-2021-4104
- CVE-2022-23302
- CVE-2022-23305
- CVE-2022-23307
In Log4j2 Version 2.x
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
Im Detail zu AEB-Cloud-Anwendungen
Ihre Systeme sind nicht betroffen:
- Entweder weil diese keine betroffene Log4j-Komponente einsetzen oder
- wenn diese eine Log4j 2.x Komponente nutzen, diese bereits auf die neueste Version (Stand 2.17) gepatcht wurde oder
- wenn diese eine Log4j 1.x Komponente nutzen, die betroffene Teil-Komponente von AEB nicht eingesetzt wird
Eingesetzte 3rd-Party-Komponenten sind, sofern sie für einen externen Angriff anfällig waren, entweder bereits auf die jeweils aktuellste Version gepatcht, notwendige Workarounds eingerichtet oder die Systeme ersetzt worden.
Zusätzlich sichern die eingesetzten Security-Maßnahmen an mehreren Stellen Ihrer Lösung vor der Ausnutzung dieser und anderen Schwachstellen. Dies bestätigen regelmäßige Vulnerability Scans und Penetrationstests.
Im Detail zu on-Premise-Lösungen
Sie müssen on-Premise-Lösungen nicht anpassen oder patchen (sofern diese sich noch im Wartungsversprechen befinden).
In manchen Fällen verwenden on-Premise-Lösungen von AEB eine Komponente von Log4j in der Version 1.x. Hier werden aber die betroffenen Teil-Komponenten von AEB nicht eingesetzt und die Konfiguration ist auch entsprechend eingeschränkt, z. B. lässt sie nur vordefinierte Appender zu.
Im Rückblick - Stand vom 16.12.2012
Aufgrund weiterer Erkenntnisse zur „Log4j Schwachstelle“ hat AEB Systeme und Lösungen weiter analysiert und wo nötig auf die neuen Erkenntnisse eingestellt.
Weiterhin ist richtig: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei on Premise-Installationen. Systeme wurden, wo nötig, auf die Log4j 2.16 aktualisiert.
Stand vom 13.12.2012
- AEB-Anwendungen sind von Log4j so gut wie nicht betroffen – weder On Premises, noch in der Cloud. Die Ausnahmen liegen im einstelligen Bereich. Diese Kunden wurden bereits persönlich informiert. Ein Patch ist in Arbeit.
- Die Infrastruktur in der AEB Cloud ist größtenteils nicht betroffen. Für die wenigen betroffenen Bereiche sind die Patches bereits eingespielt.
- Zusätzlich zu den aktuellen Patches schützt ein mehrstufiges Sicherheitskonzept und ein rigider Umgang mit ausgehenden Verbindungen unsere Cloud Services.
- Wir beobachten aktuell intensive Scans und versuchte Angriffe auf unsere Cloud Anwendungen, die alle abgewehrt wurden. Andernfalls informieren wir betroffene Unternehmen sofort.
Bei neuen Erkenntnissen aktualisieren wir diese Seite sofort. (Stand 22.12.2022)
Kommentare
4 Kommentare
Der Artikel zur Java-Schwachstelle Log4j ist heute Morgen mit dem aktuellen Stand vom 15.12.2021 versehen.
Wichtigste Erkenntnis: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei on-Premise-Installationen. Weitere Details finden Sie direkt unter den Infos zu on-Premise-Installationen und AEB-Cloud-Anwendungen.
Der Artikel zur Java-Schwachstelle Log4j ist mit dem aktuellen Stand vom 22.12.2021 versehen. Insbesondere die neuen Erkenntnisse zu den unterschiedlichen Log4j-Versionen sind dort detailliert gelistet. Weiterhin gilt: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher.
Hallo zusammen,
können Sie sagen, welche Versionen aktuell in den on-Premise-Versionen und den Cloud-Anwendungen zum Einsatz kommen? Wurde an den bekannten Versionen etwas geändert, d.h. u.U. neue Versionen zum Einsatz gebracht?
Meine Scans auf den Windows Servern haben hauptsächlich Versionen 1.2.8, 1.2.16 & 1.2.17 in den AEB Produkten zum Vorschein gebracht.
Vielen Dank
Die verschiedenen Produkte von AEB setzen unterschiedliche Log4j-Versionen ein. Die 1.x Versionen waren und sind so konfiguriert, dass sie nicht betroffen sind und benötigen/benötigten keine Patches. Für die 2.x Versionen gilt: Wo durch die oben genannten entdeckten Schwachstellen notwendig, wurden die Systeme entsprechend auf die 2.17 gepatched/Patches bereit gestellt.
Weitere Patches können natürlich auch in der Zukunft notwendig werden. AEB hat schon seit Jahren einen "Vulnerability Management Prozess" etabliert, der sich um alle Schwachstellen der eingesetzten Produkte und der eigenen Softwaren kümmert. In diesem Kontext fallen nun auch wieder neue Log4j-Schwachstellen.
Sollten Sie konkrete Sorgen oder Fragen zu den von Ihnen eingesetzten AEB-Produkten haben, können wir gerne in Ihre individuellen Details eintauchen. Erfassen Sie uns doch ein Ticket dazu oder melden sie sich direkt bei ihrem Ansprechpartner oder dem AEB-Support.
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.