Sicherheitslücke in Log4j – Faktencheck und Informationen

Eine Sicherheitslücke in der weit verbreiteten Logging-Bibliothek Log4J führt nach Einschätzung des Bundesamts für Sicherheit der Informationstechnik (BSI) zu einer „extrem kritischen Bedrohungslage“. Die Behörde hat Samstagabend die IT-Bedrohungslage auf die höchste Warnstufe Rot erhöht. Was Sie zu diesem Fall wissen sollten:

Was ist Log4j und warum kann es eine potenzielle Gefahr darstellen?

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb zu protokollieren – diese daher wie in einem Logbuch festzuhalten. Die Schwachstelle, die in der Log4j Bibliothek liegt, kann sehr gefährlich sein, da durch diese Sicherheitslücke Angreifer unter Umständen Ihren Softwarecode auf fremde Server einspielen oder im Extremfall das System komplett übernehmen können.

Wer oder was ist besonders von der Sicherheitslücke betroffen?

Betroffen sind Systeme und Anwendungen auf der ganzen Welt, die diese Software-Bibliothek nutzen.

Was bedeutet das für Sie als JobRouter-User?

Betroffen von dieser Sicherheitslücke ist bei JobRouter® lediglich der PrizmDoc Viewer (JobViewer 1) in der Version 13.2, dieser verwendet Log4j in Version 2.3. Laut Hersteller Accusoft sind alle Versionen ab 13.5 durch die verwendete Java-Version abgesichert. Nicht betroffen sind:
  • PrizmDoc Viewer in Version 12.4 (dieser wurde nur bis einschließlich JobRouter 4.1 unterstützt)
  • Die JobRouter®-Webapplikation
  • Die JobRouter®-Dienste inkl. den optionalen Komponenten RabbitMQ und Abbyy Finereader.
  • Die JobRouter® App
  • Der Mobile Client
  • JobExplorer und JobMail Connect
  • JobMind
  • SmartFix

Was bedeutet das für Sie als DocuWare User?

Glücklicherweise verwendet der größte Teil der DocuWare Produkte überhaupt kein Java und ist daher nicht von CVE-2021-44228 betroffen. Einige wenige Produktteile verwenden die betroffene Bibliothek, sind aber nicht oder nicht mehr betroffen. Diese lauten, wie folgt: DocuWare Cloud und On Premise
  • DocuWare Cloud (7.4 / 7.5 – Intelligent Indexing und Volltext) wurde analysiert und neu konfiguriert, so dass DocuWare Cloud seit dem 12.12.2021, 08:40 CEST, sicher vor Angriffen von CVE-2021-4428 ist.
  • On-Premises: DocuWare Intelligent Indexing Version 1 und Version 2 sind für CVE-2021-4428 nicht anfällig, da die an Intelligent Indexing gesendeten Eingaben verarbeitet und nicht direkt von log4j protokolliert werden. Dies wurde von DocuWare getestet und bestätigt.
  • On-Premises – DocuWare Volltext-Server: der standardmäßige DocuWare Volltext Server verwendet Apache SOLR 4.9.1 und damit auch indirekt die log4j-Bibliothek. Darüber hinaus verwendet er Apache Tomcat 8.0 / 9.0, der jedoch standardmäßig nicht log4j verwendet.
  • Die Version von SOLR – einschließlich der Version von eingebettetem log4j 1.2.17 – ist jedoch nicht anfällig für CVE-2021-4428
Allgemeine Empfehlungen des Herstellers Selbst für den unwahrscheinlichen Fall, dass sich eines der oben genannten Analyseergebnisse als falsch erweist, empfehlen wir zur Sicherheit die folgenden Maßnahmen:
  • Die folgende Umgebungsvariable sollte auf allen DocuWare Servern, auf denen DocuWare Volltext läuft, auf Systemebene (nicht auf Benutzerebene) gesetzt werden: LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  • Upgrade der Tomcat-Version auf die neueste Minor-Version 9.x (9.0.56) gemäß https://support.docuware.com/de-de/knowledgebase/article/KBA-36103
  • Blockieren Sie auf der Firewall den vom Webserver ausgehenden Datenverkehr (wenn das nicht möglich ist, protokollieren und überwachen Sie die vom Webserver initiierten Verbindungen).

Integration DW2NAV von applabs GmbH: 

Nicht betroffen sind ältere NAV-Versionen, die sich auf C/AL Codierung basieren:
  • Microsoft Dynamics NAV 2013 / R2
  • Microsoft Dynamics NAV 2015
  • Microsoft Dynamics NAV 2016
  • Microsoft Dynamics NAV 2017
  • Microsoft Dynamics NAV 2018
In der Prüfung befinden sich:
  • Die neueren Versionen „Business Central“ 14 bis 19
  • Cloud Kunden, die DW2BC App über den Microsoft App Source bezogen oder individuell installiert bekommen haben.
Anmerkung: Diese Versionen sollen eigentlich nicht betroffen sein, da dort nicht Java, sondern .NET verwendet wird.

DocuWare Connect2SAP V2 und alle Erweiterungen von Varelmann Beratungsgesellschaft m.b.H:

Produkte Connect to SAP V2 und alle Erweiterungsmodule sind von der jüngst entdeckten Sicherheitslücke CVE-2021-44228 in der Logging-Bibliothek log4j2 nicht  betroffen. (In diesen Produkten werden die Logging -Bibliotheken SLF4J und logback verwendet, die diese Schwachstelle nicht aufweisen)

Datenträger Schnittstellen und Tools für DocuWare und JobRouter

Weder DT Tools noch Schnittstellen der Herstellers Datenträger sind betroffen.

RaSoft-Programme

Folgende Programme wurden geprüft:
  • ScanServer V3.1.5
  • PDFServer V3.2.9
  • FreeForm V2.6.3
  • RunChecker V1.4
  • ScanPoolViewer V3.0.2
  • XMLConnector
  • RS_Altus_COM
  • RS_Updater
  • RS_DWPlatform_COM
  • RS_EasyArchiv_COM
Die Programme von RaSoft und die von externen Herstellern benutzten API’s verwenden nicht die Bibliothek log4j. Des Weiteren wurden alle Programme nicht in Java programmiert. Dadurch sind diese Programme nicht betroffen.