Allgemeine Information

Die kritische Sicherheitslücke "Log4Shell" wurde in Apache Log4j öffentlich bekannt (CVE-2021-44228) und könnte remote code execution (RCE) in betroffenen SVA Produkten erlauben.

Dies ist eine sich entwickelnde Lage, bitte prüfen sie regelmäßig dieses Security-Advisory.

Problembeschreibung

Ein Angreifer kann die Schwachstelle ausnutzen, um Schadsoftware aus dem Internet zu laden.

Bekannte Angriffsvektoren

Ein Angreifer kann Schadsoftware aus dem Internet laden, um Systeme und Anwendungen zu kompromittieren und Zugriff zu erlangen.

Problemlösung

Problemlösungen für CVE-2021-44228 und CVE-2021-45046 für betroffene Komponenten des Produkts finden sie in folgender Aufstellung:

  • Installation von BVQ Version 2021.H2.5 (nur CVE-2021-44228)
  • Installation von BVQ Version 2021.H2.6 (CVE-2021-44228 und CVE-2021-45046)
  • Ist die Installation nicht zeitnah möglich, Workaround laut "Problemumgehung" umsetzen.

 

Problemumgehungen

Problemumgehungen für CVE-2021-44228 und CVE-2021-45046 für betroffene Komponenten des Produkts finden sie in folgender Aufstellung:

  • Die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true setzen. Behebt die Sicherheitslücke für BVQ Versionen 2021.H1.x und 2021.H2.x. Für BVQ Version 6.2.x funktioniert die Problemumgehung für CVE-2021-45046 nicht mehr.

 

Weitere Dokumentation

Änderungshistorie

Datum Beschreibung
14.12.2021 Erstveröffentlichung
15.12.2021 Inhalte ergänzt
16.12.2021 Update zu CVE-2021-45046

 

Ansprechpartner

  • SVA BVQ Hotline: +49 6122 950 9299
  • E-Mail: servicedesk[at]sva.de