Sicherheitswarnung

Kritische Sicherheitslücke

Was ist zu beachten?

1. Wenn Sie die WinLine verwenden

Am 12. Dezember 2021 wurde die kritische Sicherheitslücke in Apache Log4j Bibliothek gemeldet.

Beschreibung von cert.at:

„Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up auf einen von den Angreifer:innen kontrollierten Server ausgelöst und der zurückgelieferte Code ausgeführt.“

Weiterführende Informationen finden Sie z.B. unter: 
https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

Auswirkung auf die WinLine und ihre Komponenten

In der WinLine Umgebung ist die Datei log4j.jar im Verzeichnis ..\DatML bzw. ..\DatML\lib vorhanden. Diese Datei wird weder in der WinLine noch im WinLine Server und auch nicht in der WinLine mobile standardmäßig verwendet, daher besteht beim normalen Arbeiten mit der WinLine kein Risiko einer Kompromittierung des Systems.

Nur die „Verdiensterhebung“ (Programmteil vom WinLine LOHN – Deutschland – Menüpunkt Abschluss / Verdiensterhebung Export) verwendet die Dateien aus dem DatML-Verzeichnis. Damit das Risiko auch hier ausgeschlossen werden kann, darf der Menüpunkt nicht mehr aufgerufen werden.

Darüber hinaus empfehlen wir dringend, das Verzeichnis DatML inkl. aller Unterverzeichnisse und die Datei Connect20160610.zip aus dem WinLine Verzeichnis zu löschen (Client und Server), womit dann auch dieses Risiko ausgeschlossen ist.

Mit den Patches WinLine 11.23 und WinLine Edition 2022 – Version 12.1 wird der Menüpunkt vorsorglich entfernt werden.

Update 15.12.2021

Die Apache Log4j wird z. B. den WinLine LOHN DE betreffend in den Kernprüfprogrammen der Deutschen Rentenversicherung (Verfahren GML57), dem Kernprüfprogramm des DASBV (Berufsständische Versorgungseinrichtung) und estatistice core (elektronische vierteljährliche Verdiensterhebung), welche wir in der WinLine verwenden, genutzt. 

Aus diesem Grund haben wir im anstehenden Patch 11.23 sowie der WinLine Edition 2022 – Version 12.1 nachfolgende Sicherheitsvorkehrungen getroffen:

  • Eine elektronische Registrierung zum Verfahren GML57 wird ohne Kernprüfung als Datei erstellt.
  • Eine Kernprüfung beim Erstellen von Beitragsnachweisen an die DASBV (Berufsständische Versorgungseinrichtung) wird nicht mehr durchgeführt. Die Erstellung der Datei erfolgt somit ohne Prüfung.
  • Die vierteljährliche Verdiensterhebung kann nicht mehr über die WinLine versendet werden. Das Prüfprotokoll wird jedoch erstellt, damit eine Abgabe direkt über das statistische Bundesamt erfolgen kann.

Wir empfehlen das unverzügliche Einspielen der Patches nach entsprechender Freigabe. Bis dahin raten wir dringend, keinerlei o.g. Meldungen vorzunehmen. 

Parallel werden wir ebenso die Anwender des WinLine LOHN DE entsprechend informieren, damit diese ggf. Rücksprache mit Ihnen halten können. 

Benötigen Sie Hilfe, hier klicken um ein Ticket zu eröffnen!

2. wenn Sie CAS genesisWorld verwenden

Produkt: CAS genesisWorld – Version: ab Version x11.1.0.11752
Bereich: Allgemeine Funktionen
In der weit verbreiteten Java-Bibliothek Log4j führt die kritische Schwachstelle Log4Shell (CVE-2021-44228) nach Einschätzung des Bundesamts
für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage.

Ist CAS genesisWorld und seine verwendeten Komponenten von der Sicherheitslücke betroffen?

Wir haben CAS genesisWorld auf die Nutzung der log4j-Bibliothek geprüft.

Unsere Analyse hat ergeben, dass die kritische Bibliothek log4j-core im Bereich der SmartSearch innerhalb der verwendeten Drittherstellerkomponente ElasticSearch zum Einsatz kommt.
Alle anderen java-basierten Komponenten und Dienste in CAS genesisWorld verwenden Log4j nach derzeitigem Kenntnisstand nicht bzw. lediglich die Schnittstellen-Bibliothek log4j-api, welche nicht von der Sicherheitslücke betroffen ist.

Zur kurzfristigen Behebung stehen Ihnen alternativ folgende Lösungsansätze zur Verfügung:

(1) Sie können im Server Manager von CAS genesisWorld den Dienst ElasticSearch deaktivieren. Damit steht dann in Konsequenz die SmartSearch nicht mehr zur Verfügung.

oder

(2) Navigieren Sie zu der Datei

„C:\Program Files (x86)\Common Files\CAS-Software\Server\JavaServices\elasticsearch\elasticsearch.xml“.

Öffnen Sie die Datei und navigieren Sie zum Eintrag

„%JAVASERVICES_HOME%\jdk-11.xxxxxx\bin\java.exe“.

Fügen Sie direkt nach diesem Eintrag folgende Zeile hinzu:

-Dlog4j2.formatMsgNoLookups=true

Speichern Sie die Datei und starten Sie den Dienst ElasticSearch über den CAS Server Manager neu.

Da ein manuelles Ändern der Konfigurationsdatei durch das Einspielen eines Software-Updates überschrieben würde, empfehlen wir die u.g. Software-Updates zeitnah einzuspielen.

oder

(3) Entsprechend der Empfehlung des BSI (siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3) können Sie alternativ auch die Windows-Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true setzen. Auch hier müssen Sie den Dienst ElasticSearch im CAS Server Manager neu starten.

Die kommenden Software-Updates x11.3.0.11967, x12.2.5.12151, x13.1.5.13151 für CAS genesisWorld werden die potenzielle Ausnutzung dieser Sicherheitslücke verhindern.

Facebook
Twitter
LinkedIn

Haben Sie Fragen? Gerne helfen wir Ihnen weiter. Rufen Sie uns an oder senden Sie uns eine E-Mail.

Top