Java-Schwachstelle Log4j: AEB sichert die Systeme (Update)
Schwachstelle Log4j

Java-Schwachstelle Log4j: AEB sichert die Systeme (Update)

Warnstufe rot laut BSI: Die Log4j-Lücke hält Web-Dienste und Anwender gleichermassen in Atem. AEB hat sofort mit Sicherheitsmassnahmen begonnen – und verzeichnet bisher keinen erfolgreichen Angriff.

Der aktuelle Stand – Update 28.02.2022

Da keine wesentlichen neuen Erkenntnisse bezüglich kritischer Log4j-Lücken bekannt sind, werden wir voraussichtlich keine weiteren Aktualisierungen an diesem Artikel vornehmen. Alle weiteren Schwachstellen zu Log4j werden von AEB wieder im Rahmen des normalen Vulnerability-Prozesses bearbeitet.

Neue Erkenntnisse werden konstant beobachtet und entsprechend die Systeme geschützt bzw. gepatched. Auch auf die weiteren entdeckten kritischen Schwachstellen reagiert AEB unverzüglich.

Es gilt weiterhin: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücken sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei On-Premises-Installationen.

Unsere Massnahmen, die hier genannt sind, adressieren in Log4j1 Version 1.x insbesondere die Schwachstelle 

  • CVE-2019-17571
  • CVE-2021-4104
  • CVE-2022-23302
  • CVE-2022-23305
  • CVE-2022-23307 

und in Log4j2 Version 2.x die Schwachstellen

  • CVE-2021-44228
  • CVE-2021-45046
  • CVE-2021-45105

Details zu den AEB-Cloud-Anwendungen

Ihre Systeme sind nicht betroffen ...

  • entweder weil sie keine betroffene Log4j-Komponente einsetzen,
  • oder wenn sie eine log4j 2.x Komponente nutzen, diese bereits auf die neueste Version (Stand 2.17) gepatcht wurde,
  • Oder wenn sie eine log4j 1.x Komponente nutzen, die betroffene Teil-Komponente von AEB nicht eingesetzt wird.

Eingesetzte 3rd-Party-Komponenten sind, sofern sie für einen externen Angriff anfällig waren, entweder auch auf die jeweils aktuellste Version gepatcht, notwendige Workarounds eingerichtet oder die Systeme ersetzt worden.

Zusätzlich sichern die eingesetzten Security-Massnahmen an mehreren Stellen Ihrer Lösung vor der Ausnutzung dieser und anderen Schwachstellen. Dies bestätigen regelmässige Vulnerability Scans und Penetrationstests.

Details zu On-Premises-Lösungen

Sie müssen On-Premise-Lösungen nicht anpassen oder patchen (sofern diese sich noch im Wartungsversprechen befinden).  In manchen Fällen verwenden on-Premise-Lösungen von AEB eine Komponente von Log4j in der Version 1.x. Hier werden aber die betroffenen Teil-Komponenten von AEB nicht eingesetzt und die Konfiguration ist auch entsprechend eingeschränkt, z. B. lässt sie nur vordefinierte Appender zu.

Rückblick: Stand vom 16. Dezember 2021

Aufgrund weiterer Erkenntnisse zur „Log4j Schwachstelle“ hat AEB Systeme und Lösungen weiter analysiert und wo nötig auf die neuen Erkenntnisse eingestellt. Weiterhin ist richtig: AEB-Systeme sind nach aktuellem Kenntnisstand für diese Sicherheitslücke sicher. Das gilt sowohl für AEB-Cloud-Anwendungen als auch bei On-Premises-Installationen.

Systeme wurden, wo nötig, auf die log4j 2.16 aktualisiert.

Rückblick: Stand vom 13. Dezember 2021, 10 Uhr

Apple, Twitter, Amazon: Von der Sicherheitslücke in der Java-Bibliothek Log4j sind fast alle Web Services betroffen. Noch bevor das Bundesamt für Sicherheit in der Informationstechnik die höchste Warnstufe ausgerufen hat, sind bei AEB sämtliche Sicherheitsmassnahmen angelaufen. Die AEB-Spezialisten haben die Systeme untersucht und bei Bedarf Patches oder Abwehrmechanismen implementiert.

  • AEB Anwendungen sind von Log4j so gut wie nicht betroffen – weder On Premises, noch in der Cloud. 
  • Die Ausnahmen liegen im einstelligen Bereich. Diese Kunden wurden bereits persönlich informiert. Ein Patch ist in Arbeit.
  • Die Infrastruktur in der AEB Cloud ist grösstenteils nicht betroffen. Für die wenigen betroffenen Bereiche sind die Patches bereits eingespielt.
  • Zusätzlich zu den aktuellen Patches schützt ein mehrstufiges Sicherheitskonzept und ein rigider Umgang mit ausgehenden Verbindungen unsere Cloud Services.
  • Wir beobachten aktuell intensive Scans und versuchte Angriffe auf unsere Cloud Anwendungen, die alle abgewehrt wurden. Andernfalls informieren wir betroffene Unternehmen sofort.