Änderungen von Dokument Allgemeine Sicherheitsempfehlungen

Von Version 36.5
bearbeitet von awa
am 01.04.2022, 17:05
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 31.26
bearbeitet von gru
am 15.12.2021, 18:45
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.awa
1 +XWiki.gru
Tags
... ... @@ -1,1 +1,0 @@
1 -Sicherheit
Inhalt
... ... @@ -1,18 +1,11 @@
1 1  {{info}}
2 -
3 -Die {{formcycle/}} Versionen 7.0.0 bis 7.0.11 enthalten eine Version vom Spring Framework, welche die am 01.04.2022 bekannt gewordene Sicherheitslücke [[CVE-2022-22965>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965]] enthält.
4 -Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält.
5 -Die {{formcycle/}} Versionen 7.0.0 bis 7.0.7 verwenden wiederum eine Version von Log4j, welche die am 14.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45046>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046]] enthält.
6 -Die {{formcycle/}} Versionen 7.0.0 bis 7.0.8 verwenden wiederum eine Version von Log4j, welche die am 18.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45105>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105]] enthält.
7 -Die {{formcycle/}} Versionen 7.0.0 bis 7.0.9 verwenden wiederum eine Version von Log4j, welche die am 11.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44832>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832]] enthält.
8 -
9 -Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.10>>doc:Blog.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücken nicht mehr enthält.**
10 -{{/info}}
11 -
12 -{{info}}
2 +Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält. Die Versionen 7.0.0 bis 7.0.7 verwenden wiederum eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45046>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046]] enthält.
13 13  
14 -Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen.
4 +Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.8>>doc:Blog.FORMCYCLE 708.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücken nicht mehr enthält.**
15 15  
6 +
7 +Für Installationen, bei denen eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen.
8 +
16 16  Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden:
17 17  [[image:tomcat_log4j_settings.png||width="350"]]
18 18  
... ... @@ -21,7 +21,7 @@
21 21  
22 22  Bei der Verwendung von anderen Servlet-Containern als dem Apache Tomcat konsultieren Sie bitte die Dokumentation dieses Servlet-Containers, an welcher Stelle dieser Parameter übergeben werden kann.
23 23  
24 -Falls eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ & __CVE-2021-45105__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche [[betroffene Konfigurationen>>https://logging.apache.org/log4j/2.x/security.html]] enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden.
17 +Falls eine Aktualisierung auf die neue {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche die betroffenen //JNDI Lookup pattern// enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden.
25 25  {{/info}}
26 26  
27 27  {{content/}}