Was ist passiert?
Kürzlich eine kritische Sicherheitslücke (CVE-2021-44228) wurde in der Apache Log4j-Bibliothek entdeckt. Diese Sicherheitsanfälligkeit kann ohne Authentifizierung aus der Ferne ausgenutzt werden und ermöglicht die Remotecodeausführung. Es rangiert mit 10 von 10 auf dem CVSS-Schweregrad. Es hat die Welt so ziemlich in Flammen gesetzt. Sie können mehr darüber erfahren, was passiert ist hier und eine Übersicht mit weiteren Links hier.
Weitere Schwachstellen werden entdeckt (CVE-2021-4104, CVE-2021-45046), Informationen dazu finden Sie weiter unten.
Sind panagenda Produkte betroffen?
Ja. CVE-2021-44228 betrifft mehrere unserer Produkte.
Update 2021-12-14: Eine weitere Schwachstelle im Zusammenhang mit Log4j ist aufgetaucht: CVE-2021-4104. Keines unserer Produkte ist anfällig für dieses neue CVE.
Aktualisieren 2021-12-15: Eine dritte Schwachstelle, CVE-2021-45046, wurde entdeckt. Einige unserer Produkte sind anfällig. Dieses CVE wird nur als 3.7 von 10 eingestuft und kann nur verwendet werden, um einen DOS-Angriff (Denial-of-Service) durchzuführen.
Update 2021-12-17: Der Schweregrad des obigen CVE-2021-45046 wurde jetzt auf 9 erhöht und ermöglicht auch die Remotecodeausführung. Dennoch sagt Metabase, dass sie keine Nicht-Standardkonfigurationen verwenden, was sie nicht angreifbar macht.
Update 2021: Ein weiterer Log12j-Exploit wurde gemeldet: CVE-2021-45105. Apache klassifiziert es als 7.5, es kann verwendet werden, um einen DOS-Angriff auszuführen.
Nachdem die erste Sicherheitslücke veröffentlicht wurde, haben wir sofort damit begonnen, alle unsere Produkte auf Gefährdung zu überprüfen. Wie zu befürchten war, verwenden viele unserer Produkte Log4j (oder enthalten Komponenten von Drittanbietern, die dies tun), sind daher anfällig und müssen aktualisiert werden.
- ApplicationInsights, ConnectionsExpert, iDNA und iDNA Applications einige Log4j direkt verwenden. Beginnend mit den in der Spalte „Fix Release 1)"Wir werden Log4j vollständig entfernen, um dies zu beheben und zuverlässig prevent alle weiteren Probleme.
- GreenLight, iDNA Applications und OfficeExpert enthalten Metabase, die Log4j verwendet. Wir werden die Metabase-Version in all diesen Produkten auf einen sicheren Stand bringen release.
Übersicht und Status
| Produkt | CVE-2021-44228 | Fix-Status | Fixieren Release 1) | CVE-2021-45046 / CVE-2021-45105 | Fix-Status | Fixieren Release 2) | So aktualisieren Sie | ||
|---|---|---|---|---|---|---|---|---|---|
| ApplicationInsights | anfällig - Fix verfügbar | freigegeben | 1.6.3 | anfällig - Fix verfügbar | freigegeben | 1.6.3 | Upgrade ApplicationInsights (≥ v1.5.1) | ||
| ConnectionsExpert 2.x | anfällig - Fix verfügbar | freigegeben | 2.1.3 | anfällig - Fix verfügbar | freigegeben | 2.1.3 | Upgrade ConnectionsExpert (> v2.0) | ||
| ConnectionsExpert 3.x | anfällig - Fix verfügbar | freigegeben | 3.1.3 | anfällig - Fix verfügbar | freigegeben | 3.1.3 | Upgrade ConnectionsExpert (> v2.0) | ||
| GreenLight | anfällig - Fix verfügbar | freigegeben | 4.5.0 | anfällig - Fix verfügbar | freigegeben | Verbesserung GreenLight - nur für >=3.5.x | |||
| iDNA | anfällig - Fix verfügbar | freigegeben | 2.11.1 | anfällig - Fix verfügbar | freigegeben | 2.11.1 | Bitte kontaktieren Sie den Support - alle Kunden sollten migriert werden iDNA Applications bereits. | ||
| iDNA Applications | anfällig - Fix verfügbar | freigegeben | 2.1.2 | anfällig - Fix verfügbar | freigegeben | 2.2.1 | Verbesserung iDNA Applications | ||
| MarvelClient | safe | safe | |||||||
| OfficeExpert | anfällig - Fix verfügbar | freigegeben | 4.3.3 | anfällig - Fix verfügbar | freigegeben | 4.3.3 | Verbesserung OfficeExpert | ||
| Metabasis anfällig 3) | warten auf Metabase | 4.3.4 | |||||||
| OfficeExpert EPM | safe | safe | |||||||
| SecurityInsider / GruppenExplorer | safe | safe | |||||||
| SmartChanger | safe | safe | |||||||
Document Properties Plugin | safe | safe | |||||||
| LogViewer-Plugin | safe | safe | |||||||
| Netzwerkmonitor-Plugin | safe | safe | |||||||
| PrefTree Plugin | safe | safe | |||||||
| Tabzilla Plugin | safe | safe | |||||||
| Timezone Helper Plugin | safe | safe |
1) Die Lösung releases in dieser Spalte adressieren CVE-2021-44228 sowohl in unserem eigenen Code als auch in Metabase.
2) Die Lösung releases in dieser Spalte adressieren CVE-2021-45046 und CVE-2021-45105. In einigen Fällen gibt es separate Zeilen für Fälle, in denen der ältere Fix das Problem in unserem Code behebt, aber ein neuerer Fix mit einer aktualisierten Metabase-Version erforderlich ist, um ihn dort zu beheben. Siehe auch 3).
3) Um das verbleibende Risiko zu mindern, bis wir release eine Version mit der aktualisierten Metabase release, siehe Infobox "Zur Metabase" unten.
Bezüglich Metabase
Metabase enthält Log4j und ist anfällig für CVE-2021-44228. Für einen ersten Fix aktualisieren wir auf Metabase 0.40.7 (die Log4j 2.15.0 enthält und vor dem Exploit der Remotecodeausführung schützt). Releases mit diesem Fix finden Sie im linken Teil der obigen Tabelle. (Spalte mit gekennzeichnet 1) )
Je neuer entdeckt CVE-2021-45046 erfordert Log4j 2.16.0 und die noch neuere CVE-2021-45105 erfordert 2.17.0. Beide CVEs sind in unserem eigenen Code festgelegt (release in der mit . gekennzeichneten Spalte 1) ), aber wir warten auf die Metabase release das beinhaltet 2.17.0 für unser nächstes release.
Bis dahin könnt ihr mit dem release das behebt das Problem in unserem Code und deaktiviert Metabase manuell:
- Verbinden Sie sich mit dem Gerät mit ssh oder putty
Aussichten für GreenLight:
Docker-Stopp gl_metabase
Aussichten für OfficeExpert und iDNA Applications:
Docker-Haltestelle panagenda_metabasis
Was passiert jetzt? Was muss ich tun?
Sie müssen alle betroffenen Produkte aktualisieren. Das releases im linken Teil der Tabelle (Spalte markiert mit 1) ) sind das wichtige Update, um Sie vor der schwerwiegenderen CVE zu schützen, und sollten so schnell wie möglich angewendet werden. Das Letzte release weniger schwerwiegende Probleme in Metabase zu beheben, ist in Arbeit.
Unsere Service- und Supportteams kontaktieren alle unsere Kunden, um Fragen zu beantworten und bei Bedarf zu helfen. Anfragen und Fragen bitte an Unterstützungpanagenda.com €XNUMX
Wir werden diesen Beitrag mit weiteren Informationen aktualisieren, sobald er verfügbar ist.