Alle Beiträge von evohelp

News

Sicherheitsmeldung: CVE-2022-22965 (Spring Framework)

1. Details, betroffene Produkte

Am 31.3. ist unter CVE-2022-22965 eine Schwachstelle im quelloffenen Java-Framework Spring gemeldet worden. Von dieser Schwachstelle sind auch die Produktegruppen

  • SIS-ACCESS
  • SIS-AZE
  • SIS-eBDE
  • SIS-ePZE
  • SIS-ePZE Basis
  • SIS-VISIT
  • SIS OfflineClient

beginnend ab Release 19.01 bis inklusive 22.02 betroffen.

2. Auswirkungen

Die Schwachstelle im Spring Framework ermöglicht es potenziellen Angreifern, beliebigen Programmcode auszuführen (Remote Code Execution).

Bei internen Prüfungen ist eine Reproduktion des Exploits bislang nur gelungen, sofern man sich zuvor erfolgreich in der SIS-Applikation angemeldet hat.

3. Mitigationsmaßnahmen

3.1 Empfohlene Maßnahmen

Aktualisierung der SIS-Software: Die künftige Version 22.03 der o.a. SIS-Produkte wird mit den gepatchten Spring Libraries ausgeliefert. Das Release erscheint voraussichtlich am 20.04.2022. Bei Interesse nehmen Sie bitte mit uns über evohelp@sisevo.com Kontakt auf.

3.2 Alternative Maßnahmen – Austausch der Spring Libraries

HINWEIS: Bei den folgenden Maßnahmen kann eine Auswirkung auf die Funktionalität der SIS-Softwareanwendungen nicht ausgeschlossen werden. Die Verantwortung für etwaige Folgeprobleme liegt allein beim Nutzer. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.

Vorgangsweise

1.) Tomcat stoppen -> Windows Services

2.) Wechsel in das Library Verzeichnis der jeweiligen Applikation (%TOMCAT_HOME%\webapps\<Applikation>\WEB-INF\lib).

Mögliche Applikationen
– ROOT (SIS Applikation läuft im root des WebServers)
– PZE
– evoApps
– sis-exchange-service
– DatahubWebServer

3.) Erstellung eines Verzeichnisses für die alten Spring-Libraries (z.b.: old_spring) zwecks Möglichkeit eines Fallbacks.

 

4.) Bestimmen der Spring-Librarieversion (Suche nach der spring-core-Version -> die gefundene Versionsnummer entspricht der Spring Framework Version). Die eingesetzte Version ist abhängig vom jeweiligen Release.

 

5.) Suchen aller Spring Frameworkversionen für die gefundene Versionsnummer

6.) Verschieben dieser Daten in das unter Punkt 3 erstellte Verzeichnis (z.b.: old_spring)

7.) Download der aktualisierten Spring-Libraries (Version 5.3.18)
DownloadLink

8.) Transfer der geladenen spring-*-5.3.18.jar Dateien in das Library Verzeichnis der jeweiligen Applikation (%TOMCAT_HOME%\webapps\<Applikation>\WEB-INF\lib).

9.) Punkt 2 bis Punkt 8 für alle SIS-Applikationen unter webapps durchführen.

10.) Tomcat starten -> Windows Service

11.) Test der Applikation

Ausgangszustand wiederherstellen
Sollte es Probleme geben, dann müssen die Punkte 2 bis 8 in umgekehrter Reihenfolge durchgeführt werden (Verschieben der Spring-Libraries 5.3.18 in ein eigenes Verzeichnis und kopieren der alten Spring-Libraries).

Weiterführende Links:

NIST – https://nvd.nist.gov/vuln/detail/CVE-2022-22965

VMWARE – https://tanzu.vmware.com/security/cve-2022-22965

News

Sicherheitsmeldung: CVE-2021-44228 (log4j)

Das deutsche  Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das österreichische nationale Computer Emergency Response Team (CERT) haben eine kritische Schwachstelle in der Java log4j-Bibliothek veröffentlicht. Von dieser Schwachstelle sind auch die Produkte SIS-ACCESS, SIS-AZE, SIS-eBDE, SIS-ePZE, SIS-VISIT, SIS OfflineClient ab Release 17.9 bis inklusive 21.10.1 betroffen.

Auswirkungen

Die genannten SIS-Anwendungen können gezielt von Hackern angegriffen werden, sofern sie direkt aus dem Internet erreichbar sind.

Mitigationsmaßnahmen

Windows

In Apache Tomcat die Java-Option -Dlog4j2.formatMsgNoLookups=true anfügen und anschließend den Dienst neu starten.

Linux

Im Environmentfile für den Tomcat (%TOMCAT_HOME/bin/setenv.sh) muss die Option –Dlog4j2.formatMsgNoLookups=true hinzugefügt werden

Update 15.12.2021: Als zusätzliche Mitigationsmaßnahme wird seitens CERT empfohlen, die Klasse JndiLookupclass aus dem Klassenpfad (“class path”) zu löschen.

Das funktioniert z.B. mit folgendem Befehl:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Quelle: https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

Sofern Sie Unterstützung bei diesen Maßnahmen benötigen, wenden Sie sich bitte an evohelp@sisevo.com.

Aktualisierte SIS-Version (Update 21.12.2021): Mit der kommenden Version 21.10.2 von SIS-Personalmanagementprodukten wird die Sicherheitslücke gepatcht. Das Release erscheint voraussichtlich am 12.01.2022. Bei Interesse melden Sie sich bitte über evohelp@sisevo.com.

Weiterführende Links (Seiten werden regelmäßig aktualisiert):

CERT – https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek

BSI – https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

Partnerprodukte:

PCS

Die Produkte INTUS COM 3.4, INTUS COM 3.5 sowie DEXICON 5.4 sind ebenfalls von der Lücke betroffen:

https://www.pcs.com/die-pcs/aktuelles/presse-und-news/detailansicht/_/aktuelle-information-zur-sicherheitsmeldung-des-bsi-java-log4j (Seite wird regelmäßig aktualisiert)

Datafox

Datafox-Produkte sind nach aktuellem Kenntnisstand nicht betroffen (15.12.2021).

Disclaimer

Die auf dieser Seite  angeführten Lösungen (d.h. nicht auch jene Lösungen auf verlinkten Seiten) wurden unsererseits geprüft und haben bis dato keinen negativen Auswirkungen auf die Funktionalität der SIS-Softwareanwendung ergeben. Dennoch liegt die alleinige Verantwortung der Nutzung der hier angeführten Informationen beim Nutzer/Nutzerin. Jegliche Haftung seitens SIS Evosoft EDV GmbH ist explizit ausgeschlossen.