Java-Schwachstelle Log4j: AEB sichert seine Systeme - Update

Martin Setzler

• 13. Dezember 2021 08:30

Apple, Twitter, Amazon: Von der Sicherheitslücke in der Java-Bibliothek Log4j sind fast alle Web Services betroffen. Noch bevor das Bundesamt für Sicherheit in der Informationstechnik die höchste Warnstufe ausgerufen hat, sind bei AEB sämtliche Sicherheitsmaßnahmen angelaufen.

Der aktuelle Stand - Update 07.01.2022

Da keine wesentlichen neuen Erkenntnisse bezüglich neuer und kritischer Log4j-Lücken bekannt sind, werden wir voraussichtlich keine weiteren Aktualisierungen an diesem Artikel vornehmen. Alle weiteren Schwachstellen zu Log4j werden von AEB wieder im Rahmen des normalen Vulnerability Prozesses bearbeitet.

Neue Erkenntnisse zu Log4j werden konstant beobachtet und die Systeme entsprechend 
geschützt/gepatcht. Auch auf die weiteren entdeckten kritischen Schwachstellen reagiert AEB unverzüglich. 

Es gilt weiterhin: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücken sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei on Premise-Installationen.

Unsere Maßnahmen die hier genannt sind, adressieren insbesondere die Schwachstellen

In Log4j1 Version 1.x

• CVE-2021-4104

In Log4j2 Version 2.x

• CVE-2021-44228 
• CVE-2021-45046
• CVE-2021-45105

Im Detail zu AEB-Cloud-Anwendungen

Ihre Systeme sind entweder nicht betroffen:

• Entweder weil sie keine betroffene Log4j-Komponente einsetzen
  
  
• oder wenn sie eine Log4j 2.x Komponente nutzen, diese bereits auf die neueste Version (Stand 2.17) gepatcht wurde
  
  
• oder wenn sie eine Log4j 1.x Komponente nutzen, die betroffene Teil-Komponente von AEB nicht eingesetzt wird

Eingesetzte 3rd-Party-Komponenten sind, sofern sie für einen externen Angriff anfällig waren, entweder bereits auf die jeweils aktuellste Version gepatcht, notwendige Workarounds eingerichtet oder die Systeme ersetzt worden.

Zusätzlich sichern die eingesetzten Security-Maßnahmen an mehreren Stellen Ihrer Lösung vor der Ausnutzung dieser und anderen Schwachstellen. Dies bestätigen regelmäßige Vulnerability Scans und Penetrationstests.

Im Detail zu on-Premise-Lösungen

• Sie müssen on-Premise-Lösungen nicht anpassen oder patchen (sofern diese sich noch im Wartungsversprechen befinden).
  
  
• In manchen Fällen verwenden on-Premise-Lösungen von AEB eine Komponente von Log4j in der Version 1.2.x. Hier wird aber die betroffene Teil-Komponente von AEB nicht eingesetzt und die Konfiguration lässt auch nur vordefinierte Appender zu. 

Im Rückblick - Stand vom 16.12.2021

Aufgrund weiterer Erkenntnisse zur „Log4j Schwachstelle“ hat AEB Systeme und Lösungen weiter analysiert und wo nötig auf die neuen Erkenntnisse eingestellt.

Weiterhin ist richtig: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei on Premise-Installationen. Systeme wurden, wo nötig, auf die Log4j 2.16 aktualisiert.

Stand vom 13.12.2021

• AEB-Anwendungen sind von Log4j so gut wie nicht betroffen – weder On-Premise, noch in der Cloud. Die Ausnahmen liegen im einstelligen Bereich. Diese Kunden wurden bereits persönlich informiert. Ein Patch ist in Arbeit. 
  
  
• Die Infrastruktur in der AEB Cloud ist größtenteils nicht betroffen. Für die wenigen betroffenen Bereiche sind die Patches bereits eingespielt. 
  
  
• Zusätzlich zu den aktuellen Patches schützt ein mehrstufiges Sicherheitskonzept und ein rigider Umgang mit ausgehenden Verbindungen unsere Cloud Services. 
  
  
• Wir beobachten intensive Scans und versuchte Angriffe auf unsere Cloud Anwendungen, die alle abgewehrt wurden. Andernfalls informieren wir die betroffenen Unternehmen umgehend.  

Bei neuen Erkenntnissen aktualisieren wir diese Seite sofort. (Stand vom 22.12.2021)

0 3

• 

  Kerstin Ullrich

  • 15. Dezember 2021 07:11

  Hallo zusammen,

  
  

  wir haben den Beitrag zur Java-Schwachstelle Log4j mit dem aktuellen Stand vom 15.12.2021 versehen. Wichtigste Erkenntnis: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei on-Premise-Installationen.

  
  

  Die Details finden Sie direkt unter den Infos zu on-Premise-Installationen und AEB-Cloud-Anwendungen.

  
  

  Ihnen einen guten Tagesstart und

  Viele Grüße

  Kerstin Ullrich,

  AEB Service & Support

  0
• 

  Kerstin Ullrich

  • 22. Dezember 2021 08:17

  Hallo zusammen,

  
  

  Der Beitrag zur Java-Schwachstelle Log4j ist mit dem aktuellen Stand vom 22.12.2021 versehen. Insbesondere die neuen Erkenntnisse zu den unterschiedlichen Log4j-Versionen sind dort detailliert gelistet. Weiterhin gilt:  AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. 

  
  

  Viele Grüße

  Kerstin Ullrich,

  AEB Service & Support

  0
• 

  Kerstin Ullrich

  • 7. Januar 2022 14:58

  Hallo zusammen,

  
  

  der Beitrag hat einen neuen Absatz mit einem Update erhalten: 

  
  

  "Da keine wesentlichen neuen Erkenntnisse bezüglich neuer und kritischer Log4j-Lücken bekannt sind, werden wir voraussichtlich keine weiteren Aktualisierungen an diesem Artikel vornehmen. Alle weiteren Schwachstellen zu Log4j werden von AEB wieder im Rahmen des normalen Vulnerability Prozesses bearbeitet."

  
  

  Sollten Sie konkrete Sorgen oder Fragen zu den von ihnen eingesetzten AEB-Produkten haben, können wir gerne in Ihre individuellen Details eintauchen. Erfassen Sie uns doch ein Ticket dazu oder melden sie sich direkt bei ihrem Ansprechpartner oder dem AEB-Support.

  
  

  Viele Grüße

  Kerstin Ullrich,

  AEB Service & Support

  0

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.