avantumconsult_1920x540_apollo_1

Sicherheitslücke
log4shell

Wir halten Sie zu der Sicherheitslücke Log4Shell
(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) auf dem Laufenden.

Kontakt aufnehmen

Für Rückfragen stehen Ihnen unsere Expert*innen zur Verfügung.
Sie erreichen uns über log4shell@avantum.de

Updates

Hier finden Sie unsere Updates zum Umgang mit den Technologien von IBM, SAP & Microsoft.

13.01.2022 // 10:47 Uhr // IBM

Für IBM Cognos Analytics with Watson gibt es ebenfalls eine neue Version des „No-upgrade“ Patch. Auch wenn bereits der erste „No-upgrade“ Patch eingespielt wurde, muss für einen vollständigen Schutz die .jar- Datei durch die neue Version ersetzt werden. Die im Dezember veröffentlichte erste Version des Patches schließt nur einen Teil der Sicherheitslücken.

11.01.2022 // 9:57 Uhr // IBM

IBM hat neue Interims-Fixes für Cognos Analytics bereitgestellt, die Log4j auf die neueste Version (2.17.1) heben. Diese finden Sie hier.

Damit sind alle aktuellen Sicherheitslücken behoben (CVE-2021-45105, CVE-2021-44832, CVE-2021-44228 und CVE-2021-45046).

03.01.2022 // 17:20 Uhr // Microsoft

Log4j-relevante Informationen zu Microsoft Technologien können Sie weiterhin dem Microsoft Security Blog entnehmen. Heute wurde ein Recap für 2022 veröffentlicht: "Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability".

03.01.2022 // 10:14 Uhr // SAP

Sämtliche log4j-relevanten Informationen zu SAP Technologien finden Sie weiterhin auf der offiziellen Seite von SAP, zuletzt aktualisiert am 30.12.2021.Hier werden die einzelnen Technologien den folgenden drei Kategorien zugeordnet: 'No Known Impact', 'Current Patch Application' und 'Patch Pending'.

"SAP arbeitet weiterhin an der Behebung dieser Schwachstellen in allen Dienstleistungen und Produkten. SAP verfolgt die dynamische Entwicklung der Situation und passt ihre Aktivitäten entsprechend an." SAP Global Security, Chief Trust Office

22.12.2021 // 16:30 Uhr // IBM

IBM hat weitere Erkenntnisse zu der Sicherheitslücke gewonnen und Fixes für die nachfolgende Software bereitgestellt.

20.12.2021 // 18:30 Uhr // IBM

IBM ist weiterhin mit Hochdruck dabei angreifbare Produkte zu erkennen und Fixes bereitzustellen. Die zuletzt veröffentlichen Fixes scheinen laut Apache Software Foundation die Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics Workspace nur teilweise zu schließen. Zum finalen Abdichten der Lücke wird nach aktuellen Stand ein weiteres Fix benötigt.

In der Zwischenzeit sollte für jede Installation separat geklärt werden, wie hoch das Risiko ist und ob sie ggf. temporär abgeschaltet werden kann.

17.12.2021 // 14:19 Uhr // Microsoft

Sämtliche Informationen zu Microsoft Technologien können Sie dem Microsoft Security Blog entnehmen. Dieser wird stetig aktualisiert.

17.12.2021 // 11:33 Uhr // IBM

IBM stellt einen neuen Patch bereit (Jar-File):

  • IBM Cognos Analytics Interim Fix – Apache log4j Vulnerability (vom 16.12.2021)
    Vorläufiger Fix: 11.x-BA-CA-MP-log4jFix
  • IBM Cognos Analytics 11.1.7 Interim Fix 6 (vom 15.12.2021)
    Vorläufiger Fix: 11.1.7-BA-CA-Win64-IF006
  • IBM Cognos Analytics 11.1.7 Fix Pack 4 (vom 23.11.21)
    Fixpack: 11.1.7-BA-CA-Win64-FP004

16.12.2021 // 18:49 Uhr // IBM

IBM hat Fixes für die Technologien IBM Planning Analytics Workspace, IBM Cognos Analytics with Watson und weitere IBM Produkte herausgebracht. Sofern diese Fixes die Bibliothek „Log4j“ auf Version 2.15.0 updaten, besteht teilweise ein Schutz (Schutz vor Remote Code Execution). Laut IBM X-Force reicht dieser Fix nicht vollständig aus. Dennoch liefert er einen besseren Schutz als die Vorversionen.

14.12.2021 // 16:29 Uhr // IBM

Wir halten uns zu der Sicherheitslücke namens Log4Shell (CVE-2021-44228) minütlich über sämtliche relevante Kanäle informiert. Wir warten auf eine finale Rückmeldung seitens IBM. Auf Basis der unsicheren Informationslage können wir aktuell noch keine Handlungsempfehlung geben.

  • BSI (Bundesamt für Sicherheit in der Informationstechnik): höchste Warnstufe
  • RedHat: Warnstufe 9,8 von 10
  • NIST (National Institute of Standards and Technology): Warnstufe 10 von 10

14.12.2021 // 16:29 Uhr // SAP

Sämtliche Informationen zu SAP Technologien finden Sie auf der offiziellen Seite: "SAP untersucht weiterhin die Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228) im Zusammenhang mit Apache Log4j, die am 10. Dezember 2021 bekannt wurde. SAP rät seinen Kunden, auf die neueste Version von Log4j zu aktualisieren, sofern zutreffend." SAP Global Security, Chief Trust Office

Zum Aufruf der offiziellen Informationen seitens SAP benötigen Sie Ihre SAP Universal ID. Das Dokument wird seitens SAP regelmäßig aktualisiert.

13.12.2021 // 16:28 Uhr // IBM

Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics with Watson nachgewiesen.

Unsere dringende Empfehlung: Schalten Sie sämtliche IBM Analytics Systeme ab, die mit dem Internet verbunden sind und kontaktieren Sie bei Fragen gerne unsere Experten Martin Otto oder Dominik Schott.

  • In der Java-Bibliothek 'Log4j' steckt eine Sicherheitslücke.
  • Es besteht die Möglichkeit, sich z.B. bei Cognos mit einem manipulierten Textausdruck anzumelden, der von #Log4j ausgeführt wird.
  • So können sich Angreifer in Systeme einschleusen und weiteren Schadcode ausführen.
  • Betroffen sind im Cognos Umfeld: IBM Cognos Analytics with Watson, Planning Analytics with Watson, SPSS, Planning Analytics Workspace.
  • IBM sitzt bereits mit Hochdruck an nötigen Updates.
Weitere Infos werden regelmäßig über den folgenden IBM Blogeintrag veröffentlicht.

avantumconsultvideolog4shell_899x506

Nachgewiesen: Sicherheitslücke in IBM Cognos Analytics with Watson //
Autor: Dominik Schott, Assistant Consultant, avantum consult GmbH

Kontakt

Unser Team hält Sie auf dem Laufenden.

nicole_schuette_1158x527
Nicole Schütte Director IBM Analytics & Data Management
andy_loewen_1158x527
Andy Löwen Director Microsoft
robert_schneider_1158x527
Robert Schneider Director SAP Planning & Analytics