Robust gegen "log4j"-Schwachstelle

zuletzt geändert: 2021-12-14T17:44:24+01:00
Software von Satzweiss.com ist robust gegen Schwachstellen im JAVA-Protokollierungswerkzeug "Apache log4j", gelistet als CVE-2021-44228.

Das Erdbeben in der IT-Welt heißt Log4J. Seit dem Bekanntwerden der Schwachstelle, von der viele Server weltweit betroffen sind, durchforsten wir bei Satzweiss.com alle durch uns entwickelte oder betreute Software, ob und in welcher Form wir angreifbar sind.

Die gute Nachricht vorweg: Diese Schwachstelle betrifft die von uns betriebene Software für die meisten unserer Kunden nicht. Die Schwachstelle bezieht sich exklusiv auf Lösungen, die die Java-Bibliothek Log4J verwenden. Die Kurzform lautet: minimaler Java-Einsatz, geringes Risiko.

Warum sind wir da so sicher? Hier die Einschätzung unserer wichtigsten Komponenten in der Übersicht:

  • Alle unsere eigenen Softwarekomponenten werden in Python/Plone entwickelt – keine davon setzt Log4J ein. Davon gibt es zwei Ausnahmen: 
    • Für aktuell zwei Kunden ersetzen wir die ZOPE-Suchmaschine durch die leistungsstarke Solr-Volltextsuche. Apache Solr ist in Java programmiert und verwendet die Log4J-Version 1.2.17. Diese ist von der Schwachstelle nicht (nur indirekt – für uns nicht relevant) betroffen. Zusätzlich statten wir diese Kundenlösungen mit einem RegEx-Filter aus.
    • Für die Auslieferung der DRM-geschützten E-Books und PDF setzen wir den Adobe Content Server (ACS) ein. ACS verwendet die Log4J-Version 1.2.1. Diese ist von der Schwachstelle nicht (nur indirekt – für uns nicht relevant) betroffen. Darüber hinaus sprechen wir den ACS über eine Programmierschnittstelle an, die das Eindringen von schädlichem Code verhindert.
  • In der Webinfrastruktur setzen wir auf den Apache2 HTTP Server. Dieser ist in C programmiert – ebenfalls kein Log4J.
  • Für den Datenaustausch betreiben wir unsere eigene ownCloud. Diese ist mit PHP programmiert – ebenfalls kein Log4J-Einsatz.
  • Falls Sie Zugriff auf unsere Office-Infrastruktur haben: Alles von Microsoft wird mit C#, C++ oder C und VB programmiert – natürlich ohne Log4J.

Bei den konkreten Angriffen hat es sich für uns alle gelohnt, alternativen Technologien zu vertrauen. Wir danken Ihnen, dass Sie mit uns darauf gesetzt haben.

Natürlich beobachten wir die weitere Entwicklung und behalten unsere Infrastruktur kritisch im Blick. Über allfällige Entwicklungen halten wir Sie auf dem Laufenden.

Für Rückfragen stehen wir gerne zur Verfügung.
Roman Jansen-Winkeln - rjw@satzweiss.com