Prüfen und patchen: Stand der Dinge zur Sicherheitslücke CVE-2021-44228

Log4Shell: die Gefahrenlage in von uns vertriebenen Produktlinien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht bei der derzeitigen Schwachstelle in der verbreiteten Java-Bibliothek Log4j (Versionen 2.0 bis 2.14.1) von einer extrem kritischen Bedrohungslage aus. Schließlich wird das betroffene Produkt in vielen Systemen verwendet. Da dieser Angriffspunkt zudem sehr einfach auszunutzen ist – ein Proof-of-Concept wurde dazu bereits veröffentlicht – sollten umgehend Sicherheitsmaßnahmen getroffen werden.

Sollte die Schwachstelle ausgeschöpft werden, ist eine vollständige Übernahme des betroffenen Systems möglich. Es gibt zwar bereits ein Sicherheits-Update für die Java-Bibliothek Log4j, allerdings müssen auch alle Produkte, die auf diese Bibliothek zugreifen, angepasst werden. (Das Programm-Modul wurde in die Architektur diverser Software-Produkte integriert.)

Unsere Techniker haben sich deshalb mit unseren Lieferanten kurzgeschlossen, um herauszufinden, welche Produkte verwundbar sind und für welche es bereits Updates gibt. Es könnten in den nächsten Tagen weitere Produkte hinzukommen. Wir werden Sie deshalb an dieser Stelle über die jeweils notwendigen Modifikationen informieren. Lesen Sie hier, welche Systeme notwendige Updates benötigen, die es umgehend einzuspielen gilt, und welche Produkte davon nicht betroffen sind.

Adaptec

Der Storage Manager maxView von Microsemi/Adaptec nutzt die Java-Bibliothek. Die Entwickler empfehlen stattdessen vorerst ARCCONF CLI zu benutzen.

Update 03.01.2022:

Wenn Sie derzeit maxView verwenden, kann es aufgrund von Apache Log4j Remote Code Execution (CVE-2021-44228) zu einer Sicherheitslücke im Programm kommen.

Da maxView das Log4j 2.14.0-Framework zum Protokollieren von Tomcat-Webserver-Protokollen verwendet, fällt es unter die Liste der betroffenen Produkte. Obwohl maxView keine JNDI-Funktionen nutzt oder verfügbar macht, ist die Nachschlagefunktion, die standardmäßig mit maxView geliefert wird, im Log4j nicht deaktiviert. Microchip Adaptec arbeitet zügig daran, dieses Problem innerhalb von maxView zu beheben. Bitte folgen Sie ASK-Artikel 17524 für Updates und endgültige Lösungen.

Bitte klicken Sie im Artikel unten auf „Benachrichtigen“, um Updates zu erhalten. (Die Option steht nur zur Verfügung, wenn Sie dort mit Ihrem Microchip Adaptec Konto eingeloggt sind.)

Ambedded UVS

Verwendet keine Log4j Library.

Areca

Firmware und Software enthalten keine Bestandteile von Apache.

Broadcom/LSI

Die Management Software LSI Storage Authority (LSA) verwendet kein Java, daher existiert hier kein Sicherheitsproblem mit dieser Bibliothek.
Der MegaRAID Storage Manager (MSM) hingegen nutzt log4j, jedoch nur in der Version 1.2.15.
Broadcom hat die MSM-Versionen 17.05.04.00 bis 17.06.02.01 als verwundbar ausgemacht. Ein Entwickler-Team arbeitet daran, die neueste log4j-Version in die MSM Software einzubauen. Frühere Versionen von MSM sollten nicht mehr verwendet werden.

Broadcom hat folgende Informationen dazu veröffentlicht.

CyberPower

Die Software PowerPanel Business und das PDNU2 Utility verwenden die Versionen Log4j v.1.2.17. PowerPanel Business verwendet in Log4J 1.2.17 keinen JMSAppender. Daher ist es von den aktuellen Schwachstellen nicht betroffen.

Datacore
  • SANsymphony
    SANsymphony ist von diesem Problem nicht betroffen. Wenn Sie betroffene Komponenten auf demselben Server haben – etwa wenn Software von Drittanbietern installiert wurde – können sie wie üblich aktualisiert werden.
  • Swarm
    Die Apache Log4j2-Bibliothek wird von einigen Versionen der Gateway- und Elasticsearch-Funktionen von Swarm verwendet. FileFly nutzt Log4j2 nicht und ist daher nicht betroffen. Weitere Informationen darüber, wie sich dieses Problem auf Swarm auswirkt, sowie Workarounds für betroffene Versionen finden Sie unter: DataCore Swarm log4j Abhilfemaßnahmen (CVE-2021-44228)
  • vFilO
    Die Apache Log4j2-Bibliothek wird für die Protokollierung von einigen vFilO-Komponenten verwendet, und alle Versionen von vFilO, die über das DataCore-Downloadportal verfügbar sind, sind von diesem Problem betroffen.
    Durch diese Schwachstelle könnte ein Angreifer mit direktem Netzwerkzugriff (z.B. ohne Firewall zwischen Angreifer und vFilO-System) vFilO dazu bringen, eine JNDI-Verbindung zu einem entfernten LDAP-Server zu öffnen, beliebigen Code abzurufen und auszuführen. Dies kann zur unbeabsichtigten Offenlegung von Informationen, zum Hinzufügen oder Ändern von Daten oder zu Denial of Service (DoS) führen.
    Ein Fix ist in Build 4.6.4-116 verfügbar. Sie können das Update-Paket erhalten, indem Sie eine Anfrage an den DataCore-Support stellen. Bitte geben Sie bei der Meldung des Vorfalls die Version an, die Sie derzeit verwenden.
Infortrend

Infortrend hat die Log4j Lücke mit neuer Firmware geschlossen (Update vom 3.1.2022)

Infortrend konnte mit der Firmware Version 1.52E44 die Log4j Lücke innerhalb der betroffenen GS-Serie patchen.

Die Oberflächen SANWatch oder EonOne indes benutzen keine derartige Software-Bibliothek.

NAKIVO

NAKIVO Backup & Replication verwendet die Apache Log4j-Bibliothek, die Teil der Apache Logging Services ist. NAKIVO hat eine Sicherheitswarnung herausgegeben, die detaillierte Schritte zur Behebung dieses Problems enthält.

Linux: Eine Vorgehensweise finden Sie hier.

Windows: Stellen Sie sicher, dass Sie das 7z-Tool installiert haben. Wechseln Sie in den Ordner libs, der sich im Installationsordner von NAKIVO Backup & Replication befindet. Öffnen Sie mit 7z die Datei log4j-core-2.2.jar und entfernen Sie JndiLookup.class aus der jar-Datei.
Starten Sie jeweils NAKIVO Backup & Replication neu.

Wichtig: CVE-2021-44228 ist eine schwere Sicherheitslücke. NAKIVO rät dazu dringend, den manuellen Fix so bald wie möglich anzuwenden. Dies sei der beste Weg, um das Risiko von Sicherheitsverletzungen zu vermeiden.

NASdeluxe NDL-2xxx Serie

Modelle mit dem proprietären Betriebssystem OS7 sind von dem Problem nicht betroffen. Unsere Techniker haben die NASDeluxe-Systeme NDL-2800SR und NDL-2880R untersucht und keine Spuren der Log4j-Bibliothek oder der Java-Binärdateien selbst gefunden. Zusätzlich zu unseren Ergebnissen haben wir eine Bestätigung vom Hersteller bekommen, dass die neueste Firmware (Version 2.06.03) keine anfälligen Java-Binärdateien enthalten. Im Folgenden finden Sie weitere Informationen zur Überprüfung Ihrer NDL-2xxx-Systeme. Wir werden diesen Abschnitt aktualisieren, sobald wir weitere relevante Informationen erhalten.
Hier sind die Schritte, falls Sie es selbst überprüfen möchten

NEC

NEC-Entwickler (TopRAID) haben uns mitgeteilt, dass das Problem (CVE-2021-44228) untersucht worden sei und nur der „Storage Analyzer for VMware vRealize Operations“ von diesem Problem betroffen sein könnte. (Also die VMware-Software und nicht das NEC-Produkt selbst.) Sie bestätigten zudem, dass es keine anderen Probleme im Zusammenhang mit CVE-2021-44228 und NEC Storage-Produkten gäbe.

Netgear

Netgear teilte uns mit, dass ihre Switche von der Lücke nicht betroffen seien.

Open-E

Die Produkte von Open-E sind offenbar nicht direkt betroffen, da lediglich System-Tools von Adaptec und LSI/Broadcom die Log4j-Library verwenden. Die Entwicklungsabteilung simulierte dennoch mögliche Auswirkungen und kam bereits gestern zu dem Schluss, dass die Storage-Betriebssysteme DSS V7 und JovianDSS nicht vom Log4j-Problem betroffen sind.

PetaSAN

Verwendet keine Log4j Library.

Supermicro

Hier ist nach derzeitigem Stand der Dinge lediglich der Supermicro Power Manager (SPM) von der Schwachstelle betroffen.

Supermicro ProduktBetroffen?Maßnahmen
BIOSNein 
BMC (all firmware branches)Nein 
SuperCloudComposerNein 
SSMNein 
SD5Nein 
SPMJaUpgrade auf Log4j 2.15.0 und neues SPM.
SMCIPMIToolNein 
SCC AnalyticsNein 
SCC PODMNein 
vCenter Plug-inNein 
Super Diagnostics OfflineNein 
SUMNein 
SUM Service (SUM_SERVER)Nein 
TrueNAS

TrueNAS/FreeNAS verwendet keine Java-Komponenten. (Blog-Artikel) Auch TrueNAS-Archiware/TrueNAS-Nextcloud-Integrationen sind nicht betroffen.

Starline Kontakt

Noch Fragen? Kontaktieren Sie uns.

Der ausgewiesene Experte für alle Linux- und Ceph-Plattformen kam 2018 zu Starline. Seine Vorliebe gilt raffinierten Open-Source-Lösungen und kniffligen Produktentwicklungen. Deshalb steht er auch für Anfragen bezüglich PetaSAN und FreeNAS bereit. Aber auch ARM-Server von Ambedded oder Mac-Betriebssysteme haben es ihm angetan. Privat befasst sich der Ingenieur gern mit 3D-Druckern und Robotern.

Mohammad Ammar
Technik