16.12.2021

Kritische Zero-Day-Lücke in Log4j

Im Dezember 2021 wurde ein kritisches Sicherheitsproblem im Java-Framework Log4j gefunden. Aus diesem Grund kann ein Angreifer, der Protokollnachrichten oder Protokollnachrichtenparameter kontrollieren kann, beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Ersetzung der Nachrichtensuche aktiviert ist.

Weitere Informationen zu dieser Zero-Day-Sicherheitslücke finden Sie hier unter:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf

Diese Bibliothek wird in vielen Softwareprodukten weltweit verwendet.

COBISOFT Lösungen sind nicht betroffen

  • COBI.wms App: Verwendet nicht Log4j (Android App, keine Serverapplikation).
  • COBI.wms HANA Proxy: Verwendet nicht Log4j.
  • COBI.msv Server: Verwendet nicht Log4j.
  • COBI.time basiert auf Node.js und enthält keine Komponente, die in Java geschrieben sind.
  • COBI.edi basiert auf C#/.NET und enthält keine Komponente, die in Java geschrieben sind.

Detaillierte Analyse

Folgende COBISOFT Produkte bzw. Produktkomponenten sind als Serverseitige Java Applikationen realisiert:

HANA Proxy

Die HANA Proxy dient zum Datenaustausch zwischen der COBI.wms Android App und On-Premises Installationen der SAP HANA Datenbank für SAP Business One. Die einzige externe Java Komponente, die von der HANA Proxy verwendet wird, ist die JSON-Bibliothek Gson von Google. Log4J wird also in der HANA Proxy nicht verwendet.

Zudem findet die Kommunikation zwischen COBI.wms Android App und HANA Proxy im Rahmen eines lokalen Netzes statt, daher werden Installationen der HANA Proxy nicht aus dem Internet erreichbar gemacht.

COBI.msv

COBI.msv ist eine Implementierung der Serverkomponente der MSV3 v2.0 Spezifikation. Installationen von COBI.msv werden aus dem Internet öffentlich erreichbar gemacht. Folgende externe Java Komponente werden von COBI.msv importiert:

  • Die JSON-Bibliothek Gson von Google. (com.google.code.gson:gson)
  • Das Bibliotheken-Bündel JAX WS RI Runtime. (com.sun.xml.ws:jaxws-rt)

COBI.msv verwendet also nicht direkt Log4J. Durch den Import des JAX WS Bündels ergibt sich jedoch folgende Liste von JAR Dateien, die von COBI.msv indirekt verwendet werden:

  • activation-1.1.jar
  • FastInfoset-1.2.16.jar
  • gmbal-4.0.0.jar
  • ha-api-3.1.12.jar
  • istack-commons-runtime-3.0.8.jar
  • jakarta.activation-api-1.2.1.jar
  • jakarta.annotation-api-1.3.4.jar
  • jakarta.jws-api-1.1.1.jar
  • jakarta.xml.bind-api-2.3.2.jar
  • jakarta.xml.soap-api-1.4.1.jar
  • jakarta.xml.ws-api-2.3.2.jar
  • javax.mail-1.6.2.jar
  • jaxb-runtime-2.3.2.jar
  • jaxws-rt-2.3.2-1.jar
  • management-api-3.2.1.jar
  • mimepull-1.9.11.jar
  • pfl-asm-4.0.1.jar
  • pfl-basic-4.0.1.jar
  • pfl-basic-tools-4.0.1.jar
  • pfl-dynamic-4.0.1.jar
  • pfl-tf-4.0.1.jar
  • pfl-tf-tools-4.0.1.jar
  • policy-2.7.6.jar
  • saaj-impl-1.5.1.jar
  • stax2-api-4.1.jar
  • stax-ex-1.8.1.jar
  • streambuffer-1.5.7.jar
  • txw2-2.3.2.jar
  • woodstox-core-5.1.0.jar

(Liste wurde aus einer produktiven Installation von COBI.msv 1.1.0 generiert.)

Diese JAR Dateien wurden gründlich nach beinhalteten Java .class Dateien sowie verschachtelte JAR Dateien durchgesucht. Es wurde keine Spur von Log4J gefunden.