Sicherheitslücke log4j

  • Liebe Partner und Modulhersteller,



    konntet Ihr bereits eine Einschätzung der Auswirkungen von log4j auf Eure Module für die STARFACE vornehmen und wenn ja, wie ist diese ausgefallen?


    Beste Grüße


    Daniel

    Beste Grüße

    Daniel


    Product Management


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com


  • Ich habe meine gesamte Entwicklungsumgebung sowie das Entwicklungssystem gescannt. Weder mein Modulcode, noch meine Dependencies enthalten eine Log4J Bibliothek.


    Ansonsten hätte ich bereits ein Rundmail geschrieben (und warsch. schon nen Patch zur Verfügung gestellt)


    Ich habe aber von einem Fall in Deutschland mit einer "gehackten" (Entwendete SIP-Credentials) STARFACE gehört, bei der diese das ganze Guthaben vertelefoniert haben.
    Es könnte natürlich n blöder zufall gewesen sein.
    So wie ich gehört habe, hatte die Anlage aber ein Drittanbieter STARFACE Modul, welches eine Log4J 2.X dependency hatte. Ob, und wie diese im Modulsystem verankerten Dependencies von aussen erreichbar sind, weiss ich jedoch nicht.
    Ich bleibe deshalb, was Kunde, Partner, sowie Modul angeht sehr wage. Am ende des Tages könnte es wie gesagt n blöder zufall gewesen sein, und die sind anderweitig an die SIP-Credentials gekommen.
    Wir hatten aber zur Sicherheit letzte Nacht alle unsere STARFACE Clouds heruntergefahren ;)


    MfG


    Fabian

    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

    Einmal editiert, zuletzt von FabianZ ()


  • Ja.
    Die bekannten Sicherheitslücken (sowohl die aktuelle als auch ältere) in der Log4J beziehen sich nur auf eine Verwendung mit JNDI. Dies ist aber bei den STARFACE Systemen deaktiviert und nicht im Einsatz.

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Habe ich richtig verstanden dass Starface kein Update zur Verfügung stellt?
    Die Log4J Library wird verwendet aber in einer so alten Version (1.2.17), welche seit 2015 nicht mehr unterstützt und damit nicht mehr mit Sicherheitsupdates versorgt wird.


    Da die aktuelle Sicherheitslücke dort nicht funktioniert aber bereits darin enthaltenen Sicherheitslücken nicht ganz so schlimm sind? (noch)
    Die zwei Jahre alte CVE-2019-17571 hat ja "nur" einen Score 9.8 von 10 erhalten.


    ...

    Gruß,
    Dominik


  • Da die aktuelle Sicherheitslücke dort nicht funktioniert aber bereits darin enthaltenen Sicherheitslücken nicht ganz so schlimm sind? (noch)
    Die zwei Jahre alte CVE-2019-17571 hat ja "nur" einen Score 9.8 von 10 erhalten.


    ...


    Wir haben natürlich auch nach den anderen bekannten CVEs in log4j geschaut, und die STARFACE PBX ist von keiner davon betroffen.
    Die genannte CVE-2019-17571 betrifft die PBX auch nicht, da diese die SocketServer Klasse betrifft. Da auf der STARFACE PBX nur lokal geloggt wird, wird der SocketServer nicht verwendet.

  • Das ist erstmal gut, ändert aber nichts an der Tatsache das es ein Update brauchen sollte (der Library und so wie hier argumentiert wird auch vmtl. bei anderen Libraries).


    Sicherheit ist sicherlich der wichtigste Punkt, aber es geht auch um Kompatibilität und Abhängigkeiten (anstehende Probleme, es ist ja nur eine Frage der Zeit).


    Zitat

    elasticsearch 2016: Its not just about security releases, for example some features of log4j 1.x are broken with java 9, we have a hack around that
    log4j 1.2.17 has reached End of life. Plans of upgrade?


    Warum kann es nicht normal ablaufen (so wie bei elasticsearch), muss es immer erst "weh" tun?
    Wie die Vorredner bereits scheiben, was wirft das für ein Licht auf Starface.


    Das hier sieht eher nach einem Grundsatzproblem mit dem Umgang von (Sicherheits-)Updates aus.
    Die Technische Argumentation warum es aktuell kein Problem ist passt wie besprochen ja.


    Aktuell wundert sich der Kunde das es von der einen Seite (BSI, Nachrichten, ...) heißt alle Versionen seien betroffen (auch wenn das im Detail hier nicht zutrifft), und von der anderen (Starface Newsletter) "setzt ... NICHT betroffene Version ... ein".
    Es geht auch aus Marketing/Vertrieb sicht darum sagen zu können: Ja, wir verwenden dieses Programm haben aber umgehend die BSI vorgaben umgesetzt bzw. Updates wie jede Firma die sich aktuell auch hiermit befasst vorbereitet.


    Warum sollten alle (mir bekannten) Firmen Weg A gehen nur Starface weiß es besser?

    Gruß,
    Dominik

  • Wir haben natürlich auch nach den anderen bekannten CVEs in log4j geschaut, und die STARFACE PBX ist von keiner davon betroffen.
    Die genannte CVE-2019-17571 betrifft die PBX auch nicht, da diese die SocketServer Klasse betrifft. Da auf der STARFACE PBX nur lokal geloggt wird, wird der SocketServer nicht verwendet.


    Hallo,


    ich habe mir extra einen Account angeschafft um Antworten bzw. zu dem Thema beitragen zu können.
    Das eingesetzte log4j muss DRINGEND aktualisiert werden, nur weil die aktuelle Lücke in Eurer veralteten Version nicht unterstützt wird, ist es nicht automatisch sicher. Ansonsten könnte man auch Windows Server 2008 einsetzen, weil irgendeine neuere Lücke ggfs. dort gar nicht existiert, aber dennoch Sicherheitslücken hat. So zu denken ist unlogisch. Wenn sich in Zukunft herausstellt, dass in der Version 1.x doch eine ausnutzbare Lücke vorhanden ist, könnt Ihr nicht erst dann mit der Entwicklung von STARFACE PBX und der aktuellsten Version von log4j beginnen.


    Grüße
    Denis Pintaric

  • Habs kurz auf meiner SF geprüft.


    Es gibt mehrere Konfigurationen


    /var/starface/config/log4j.xml
    /opt/tomcat/webapps/localhost/starface/WEB-INF/xml/logging/log4j.xml
    /opt/openfire/lib/log4j.xml


    In allenverwenden sie den "RollingFileAppender", nicht den "JMSAppender".


    MfG


    Fabian

  • Hier stellt sich für mich auch die Frage, wieso die Log4J Version existiert und dennoch kein Problem darstellt und ob es auch so ein großes Problem ist, die mal zu aktualisieren, dass man es nicht einfach tut.
    So eine alte Version muss ja generell nicht sein, auch wenn Sie genau die eine Lücke nicht besitzt.


  • Hallo zusammen,


    hier eine kleine Info zu unseren Modulen:


    Sämtliche unserer STARFACE-Module verwenden ausschliesslich den internen Logger der STARFACE, sie sind also genauso wenig betroffen wie die STARFACE selbst.


    Was andere Produkte von uns betrifft:


    - Die Telefonie-Integration für DATEV ist, abgesehen von dem dazugehöringen Modul, in C# implementiert, also nicht betroffen.
    - Der UCI Proxy für DATEVasp ist in Python implementiert, also ebenfalls nicht betroffen.
    - Der Visoma Connector ist zwar in Java implementiert, verwendet aber log4j-Alternative logback.


    Viele Grüße


    Thomas

  • Hallo,


    wie bereits festgestellt wurde, ist die STARFACE weder als Cloud noch onPrem von dieser Sicherheitslücke betroffen. Das kann ich hiermit aus der Entwicklungsabteilung auf dem kurzen Weg kommunizieren. Die betroffenen Bibliotheken (bzw die betroffenen Versionen) werden von uns nicht im Code der PBX eingesetzt.


    Die offizielle Nachricht (mit korrekter Formulierung) erfolgt ebenfalls noch heute. Sowas ist (auch wenn am Ende weder mit mehr Informationen oder anderem Inhalt) allerdings immer ordentlich zu formulieren und wird dann durch das Marketing bekannt gegeben.


    Gilt diese Aussage auch für die ältere Version die vom BSI hier genannt wird oder nur für CVE-202-44228?

  • Liebe STARFACE Kunden und Partner,


    da uns zu dem Thema weitere Fragen erreicht haben, möchten wir Ihnen/Euch hiermit gerne ein aktualisiertes und erweitertes offizielles Statement zu diesem Thema zur Verfügung stellen:

    Uns liegt die Sicherheit unserer Produkte am Herzen.

    Aus diesem Grund nehmen wir Sicherheitshinweise sehr ernst und lassen regelmäßig unsere Produkte von externen Sicherheitsspezialisten auf Herz und Nieren prüfen. Der letzte Penetrationstest unserer PBX wurde von einer Security-Firma im August 2021 durchgeführt.

    Aktuell gibt es einige bekannte Schwachstellen in der Java-Bibliothek "log4j".

    Gerne geben wir Ihnen unsere Bewertung nach unserer Analyse zu diesen Schwachstellen:

    CVE-2019-17571
    Die Schwachstelle betrifft die Verwendung auf der STARFACE nicht, da wir dies ohne Netzwerkzugriff mit reinem lokalen Logging betreiben.

    CVE-2021-44228
    Diese Schwachstelle betrifft nur die Versionen 2.0 bis 2.14.1 der log4j-Bibilothek. Auf der STARFACE PBX wird keine dieser betroffenen Versionen eingesetzt.

    CVE-2021-45046
    Diese Schwachstelle ist ein Folgefehler eines Fixes der Schwachstelle CVE-2021-44228 und betrifft primär Version 2.15.0. Auf der STARFACE PBX wird diese Versionen nicht eingesetzt.“



    Wir wünschen Euch allen schöne und erholsame Weihnachtstage, sowie einen guten Rutsch ins neue Jahr!


    i.A. Andreas Reeh
    Presales Manager, STARFACE GmbH

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

    Einmal editiert, zuletzt von areeh ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!