Security Advisory BVQ
Allgemeine Information
Die kritische Sicherheitslücke "Log4Shell" wurde in Apache Log4j öffentlich bekannt (CVE-2021-44228) und könnte remote code execution (RCE) in betroffenen SVA Produkten erlauben.
Dies ist eine sich entwickelnde Lage, bitte prüfen sie regelmäßig dieses Security-Advisory.
Problembeschreibung
Ein Angreifer kann die Schwachstelle ausnutzen, um Schadsoftware aus dem Internet zu laden.
Bekannte Angriffsvektoren
Ein Angreifer kann Schadsoftware aus dem Internet laden, um Systeme und Anwendungen zu kompromittieren und Zugriff zu erlangen.
Problemlösung
Problemlösungen für CVE-2021-44228 und CVE-2021-45046 für betroffene Komponenten des Produkts finden sie in folgender Aufstellung:
- Installation von BVQ Version 2021.H2.5 (nur CVE-2021-44228)
- Installation von BVQ Version 2021.H2.6 (CVE-2021-44228 und CVE-2021-45046)
- Ist die Installation nicht zeitnah möglich, Workaround laut "Problemumgehung" umsetzen.
Problemumgehungen
Problemumgehungen für CVE-2021-44228 und CVE-2021-45046 für betroffene Komponenten des Produkts finden sie in folgender Aufstellung:
- Die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true setzen. Behebt die Sicherheitslücke für BVQ Versionen 2021.H1.x und 2021.H2.x. Für BVQ Version 6.2.x funktioniert die Problemumgehung für CVE-2021-45046 nicht mehr.
Weitere Dokumentation
- Angriffsversuche auf andere Produkte sind bekannt.
- SVA FocusOn: >> IT: https://focus.sva.de/kritische-schwachstelle-log4shell/
- BSI Security Advisory zu CVE-2021-44228: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/20…
- NIST Advisory zu CVE-2021-44228: https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- BSI Security Advisory zu CVE-2021-44228: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2021/12/warnmeld…
- NIST Advisory zu CVE-2021-45046: https://nvd.nist.gov/vuln/detail/CVE-2021-45046
- Log4J 2.16 Anouncement: https://lists.apache.org/thread/d6v4r6nosxysyq9rvnr779336yf0woz4
Änderungshistorie
Datum | Beschreibung |
---|---|
14.12.2021 | Erstveröffentlichung |
15.12.2021 | Inhalte ergänzt |
16.12.2021 | Update zu CVE-2021-45046 |
Ansprechpartner
- SVA BVQ Hotline: +49 6122 950 9299
- E-Mail: servicedesk[at]sva.de