Seit letzten Freitag gibt es im Bereich IT-Sicherheit eine wichtige Frage mehr: Welches der bei uns eingesetzten Software-Produkte benutzt log4j in einer vulnerablen Version? Die Frage ist auf den zweiten Blick vielleicht noch schwieriger zu beantworten als auf den ersten. Zum einen verwenden viele Lösungen fertige Bibliotheken, die wiederum andere Abhängigkeiten nach sich ziehen, die wieder von anderen Projekten abhängen usw. Zum andere "verstecken" sich fertige Lösungen auch gerne mal in Appliances, in VMs oder in Container-Images.
HCL hat sich die notwendige Zeit genommen, um genau zu prüfen, welche der - in den allermeisten Fällen von anderen Herstellern übernommenen - Programme betroffen sind.
In der Übersichts-Technote "CVE-2021-44228: HCL Security Advisory" werden Technotes zu den einzelnen HCL-Produkten aufgelistet. Die für uns und unsere Kunden vermutlich drei wichtigsten:
Grob gesagt: Fast nichts davon ist betroffen. Das ist die gute Nachricht.
Die Ausnahmen:
HCL Connections setzt auf IBM WebSphere 8.5.5 auf. Und das Hilfesystem von WebSphere nutzt Apache Log4j in der Version 2. IBMs Security Bulletin: Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228) gibt mehr Details dazu.
Die HCL-Technotes dazu:
- Security Bulletin: HCL Connections Security Update for Apache Log4j 2 Vulnerability (CVE-2021-44228) und
- Security Bulletin: Vulnerability in IBM WebSphere Application Server available on the HCL Software License & Download Portal (CVE-2021-44228)
Das Domino AppDev Pack hat seit Version 1.0.5 auch eine Java-Schnittstelle zum Proton-Task. Diese ist bis Version 1.0.10 betroffen, AppDev Pack 1.0.11 ist es nicht mehr. Download wie immer im Flexnet.
Das aktuelle Sametime ab Version 11 nutzt Websphere nicht mehr, der Meetings-Teil setzt allerdings auf Jitsi auf und die Jitsi Video Bridge ist betroffen. Umso erfreulicher fand ich die Nachricht, dass Sametime 11.x und Sametime Premium 11.x doch sicher sind. Für Sametime 9 und 10 gilt allerdings das zu Connections gesagte: das Hilfesystem des darunterliegenden WebSphere Application Servers ist betroffen.
Eine gaaaaanz lange Liste findet man auch im Github: Log4j overview related software. Nichts Offizielles, es werden aber viele Hersteller-Technotes als Quelle verlinkt.
Update am 13. Januar 2022
Die Technote "CVE-2021-44228 + CVE-2021-45046 + CVE-2021-45105 + CVE-2021-44832 + CVE-2021-4104, Log4J / Log4Shell Security Advisory for Notes, Domino, Verse, Traveler and related products" wurde ergänzt. Das Domino AppDev Pack 1.0.11 war wohl doch noch von den im späteren Verlauf entdeckten weiteren Lücken betroffen.
"AppDev Pack versions 1.0.5 and later reference log4j2. As of this writing the latest release of AppDev Pack, version 1.0.12, updates the referenced version of log4j2 to 2.17.1 [...]"
Die Version 1.0.12 ist es nicht mehr. Download wie immer im Flexnet.
