XELOS nicht von Log4J CVE-2021-44228 betroffen

Der XELOS Application / Serverstack ist nicht von der Log4J Sicherheitslücke betroffen.

Der XELOS Application / Serverstack ist nicht von der Log4J Sicherheitslücke betroffen.

Sehr geehrte Kunden,

anlässlich der aktuellen Berichterstattung und Nachfrage-Aufkommen:

Die Software XELOS ist NICHT von der Log4J Sicherheitslücke betroffen

Analyse / Detailauskunft

  • Der XELOS Application Stack verwendet in den primären Anwendungen KEINE Java-Programmteile oder Bibliotheken (NGINX, PHP)
  • Die sekundären Dienste mySQL und REDIS beinhalten in der genutzten Installation ebenfalls keine Log4J Bestandteile
  • Der Elastic-Search Dienst beinhaltet die Bibliothek Log4J, allerdings ist die Anwendung nach aktueller Auskunft nicht exploitbar ( siehe: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 ). Desweiteren ist die ElasticSearch im Standard XELOS Setup nicht für die direkte Kommunikation freigeschaltet und deshalb nicht direkt angreifbar. (Ein Update von Elasticsearch auf 6.8.21 wird allerdings für den 13.12. erwartet und nach Evaluation von wurde von uns am 14.12. auf alle Systeme im technischen Betrieb aufgespielt)
  • Weitere Drittanwendungen im allgemeinen Linux-Stack könnten zwar die Bibliothek einbinden, sind aber nicht angreifbar

 

Update Elastic Search für Kunden mit onPremise Installationen im eigenen Betrieb

Wir empfehlen die Prüfung der verwendeten ElasticSearch Version gemäß der u.g. Herstellerinformation und empfehlen zur Sicherheit das Update der ElasticSearch Version auf 6.8.22 bzw. 7.16.2. 

Elasticsearch
Supported versions of Elasticsearch (6.8.9+, 7.8+) used with recent versions of the JDK (JDK9+) are not susceptible to either remote code execution or information leakage. This is due to Elasticsearch’s usage of the Java Security Manager. Most other versions (5.6.11+, 6.4.0+ and 7.0.0+) can be protected via a simple JVM property change. The information leak vulnerability does not permit access to data within the Elasticsearch cluster. We have released Elasticsearch 7.16.1 and 6.8.21 which contain the JVM property by default and remove certain components of Log4j out of an abundance of caution. 

 

Ändern sie hierzu in der docker-compose.yml die Version der Elastic Search:

elastic:
    imagedocker.elastic.co/elasticsearch/elasticsearch:6.8.22

 

Danach starten sie den ElasticSearch Container neu:

docker-compose up -d elastic

 

Monitoring / Weiteres Vorgehen

Die Software XELOS wird regelmäßig durch dritte Sicherheitsanbieter getestet, u.a. durch automatisierte Scans welche automatisch nach Bekanntwerden einer Sicherheitslücke wie Log4J anspringen. Aktuell werden regelmäßig weitere Informationen zur Lücke bekannt und entsprechend laufen Scans und unser Monitoring, um auf evtl. Änderungen zeitnah reagieren zu können.

Wir behalten die Informationen zur aktuellen Lage also weiter im Auge und werden diesen Artikel bei Bedarf aktualisieren.
Sollte sich unerwartet doch ein kritischer Angriffsvektor auf XELOS Installationen durch Exploits aufzeigen, werden Sie aktiv von uns informiert.

 

Viele Grüße

Stefan Pasel

 

 

Sie benutzen noch kein XELOS Social Workplace?

Jetzt informieren!

Durch klick auf den Link "jetzt informieren", gelangen Sie auf unsere Produktseite "xelos.net".