IT-Sicherheit

Sicherheitslücke in Java-Bibliothek Log4j geschlossen

Aus den Medien haben Sie es sicherlich bereits mitbekommen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf eine Sicherheitslücke in Java hingewiesen und das damit verbundene Risiko auf der CVSS-Skala mit dem Höchtwert 10 eingestuft.

Das veranlasste unsere Sicherheitsexperten alle nötigen Prüfungen durchzuführen und die theoretischen Schwachstellen schnellstmöglich abzusichern.

Denn auch einzelne Vivendi-Assist-Dienste setzen auf Java. Das Team prüfte alle Dienste und stellte fest, dass theoretisch zwei Services zeitweise gefährdet waren, es jedoch zu keinem Angriff gekommen ist, Jitsi (Video-Telefonie) und Graylog (Log-Informationen). Ein dritter Dienst, der CX-Sign-Service (Unterschriften-Service), war nicht betroffen.

Am Montag, den 13. Dezember 2021 wurden alle Updates installiert, die für Graylog und Jitsi bereitgestellt wurden. Die theoretische Lücke ist damit geschlossen.

Weiterführende Prüfungen der log4-J-Bibliothek
Eine Prüfung auf weitere Verwendung der log4-J-Bibliothek wurde vorgenommen, bisher wurden keine weiteren Bausteine vorgefunden, die eine entsprechende Verwendung aufweisen. Eine Ausnutzung in den beiden Diensten ist nicht vorgekommen. Selbst bei einer Kompromittierung der Dienste wäre es zu keinem Zeitpunkt zu einer Gefährdung von Kunden-Daten gekommen. Zudem wäre ein weiterer Angriff auf weitere Komponenten nicht möglich gewesen, da die Angreifer in der Service-Architektur in den einzelnen Diensten / Services gefangen gewesen wären. Lediglich ein Ausfall der Dienste / eine Ressourcen-(Aus-)Nutzung hätte erfolgen können. Das hat nicht stattgefunden.

Vivendi Mobil nutzt Java, ist aber nicht betroffen
Vivendi Mobil ist ebenfalls eine Anwendungssoftware die im Java-Umfeld zum Einsatz kommt. Vivendi Mobil verwendet log4-J nicht und ist daher von der Sicherheitslücke nicht betroffen. Wichtig dabei zu wissen ist, dass Connext sowohl die direkte Verwendung geprüft hat, als auch die Verwendung von log4-j durch Drittbibliotheken, soweit dieses möglich ist. Zur Absicherung der Fragestellung wurde der OWASP Dependency Checker ausgeführt um ggfs. betroffene Fremdbibliotheken zu finden / zu erkennen. Hier wurden keine Verwendungen von log4-J gefunden.

Andere Vivendi-Module nutzen JavaScript und sind daher nicht betroffen
Erlauben Sie uns noch einen Hinweis für weitere Module, da es hier schon zu Verwechslungen und Fragestellungen gekommen ist. Für z. B. Vivendi PD Web und die anderen Webanwendungen gilt, dass hier JavaScript eingesetzt wird, nicht klassisch Java verwendet wird. Daher sind wir auch an dieser Stelle nicht von der Fragestellung betroffen.

Verwechslungsgefahr gilt beim Vivendi VX - hier wird zwar log4net (ein Port von log4j) verwendet, ABER dies hat z. B. nicht dasselbe Interface, dieselbe Library, welches in dem Log genutzt werden kann. Eine Betrachtung und Rückmeldung zu diesem Thema finden Sie auf der Website StackExchange. Kurz: Auch hier sind wir davon nicht betroffen.