Wichtige Information: BSI meldet kritische Schwachstelle CVE-2021-44228 in der Java-Bibliothek Log4j – X4 BPMS nicht betroffen

Update 14.12.2021

Es geht um eine kritisch eingestufte Sicherheitslücke in der Logging-Bibliothek Log4j bis einschließlich Version 2.14. Zusätzliche Informationen können beim BSI eingesehen werden.

Im Folgenden finden Sie eine Beschreibung der durchgeführten Schwachstellentests.

Sicherheitsscanner können fälschlicherweise die Klasse de.softproject.integration.util.JNDILookup.class in der X4-Client.jar-Datei als Sicherheitslücke erkennen. Die Klasse steht in keinem Zusammenhang zu Log4j. Sollten Sie diese Meldung erhalten, können Sie diese Meldung ignorieren.

Der Local-Log4j-Vuln-Scanner findet fälschlicherweise die Klasse JNDIManager aus dem Paket narayana-jts-idlj und gibt eine entsprechende Meldung aus. Die Klasse steht in keinem Zusammenhang zu Log4j. Sollten Sie diese Meldung erhalten, können Sie diese Meldung ignorieren.

WildFly ist nicht betroffen. Die offizielle Kommunikation ist auf der Webseite von WildFly verfügbar.

WildFly/JBoss verwendet die Log4j API, bringt aber eine eigene Implementierung auf Basis von Log4j 1.x mit (Log4j-JBoss-logmanager-1.x.x.Final.jar) mit. Damit wird die betroffene Log4j2 Core Implementierung nicht verwendet.

Wir haben geprüft, ob die X4 BPMS von der kritisch eingestuften Sicherheitslücke betroffen ist. Das Ergebnis unserer Prüfung hat ergeben, dass die X4 BPMS von der Sicherheitslücke nicht betroffen ist.

Ursprüngliche Meldung vom 13.12.2021

Am 9. Dezember 2021 wurde eine Schwachstelle in Apache log4j 2 (RCE) festgestellt. Es wurde ein Proof-of-Concept-Code (PoC) veröffentlicht und eine anschließende Untersuchung ergab, dass die Ausnutzung einfach durchzuführen war. Durch das Senden einer speziell gestalteten Anfrage an ein anfälliges System kann ein Angreifer je nach Konfiguration des Systems dieses System anweisen, eine bösartige Nutzlast herunterzuladen und anschließend auszuführen.

Das BSI schätzt die Bedrohungslage als extrem kritisch ein.

Betroffen von der Schwachstelle sind die log4j-Versionen 2.0 bis 2.14.1. Unsere Prüfungen haben ergeben, dass die X4 Suite-Versionen 5.5., 5.8, 6.x und die X4 BPMS-Versionen 7.x sowie darauf aufbauende Lösungen (z. B. X4 BiPRO Server) von der Schwachstelle nicht betroffen sind. Der von SoftProject mitgelieferte Wildfly Application Server ist ebenfalls nicht betroffen, da hier eine log4j-Implementierung zum Einsatz kommt, die die Schwachstelle nicht enthält. Informationen zu älteren Versionen der X4 Suite liefern wir gerne auf Anfrage. Ebenfalls nicht betroffen sind die ab Version 7.x eingesetzten Keycloak-Versionen.

Wir empfehlen trotzdem die Option „log4j2.formatMsgNoLookups“ auf „true“ zu setzen, indem die Java Virtual Machine mit dem Argument „–Dlog4j2.formatMsgNoLookups=True” gestartet wird. So kann verhindert werden, dass bei ggf. bauseits hinzugefügten, aktuelleren log4j-Versionen die Schwachstelle ausgenutzt wird.

Ab Version 6.x stellen wir auf Anfrage zusätzlich einen X4-Adapter zur Verfügung, den Sie als Kunde nutzen können, um Ihre Installation der X4 Suite bzw. X4 BPMS selbst zu prüfen.

Darüber hinaus empfehlen wir bei On-Premises-Lösungen, alle umliegenden Systeme wie z. B. bauseitige Web-Server oder Proxy-Server auf die o. g. Schwachstelle zu untersuchen.

Für Kunden, die unseren Software as a Service (SaaS) nutzen, besteht keine akute Bedrohung. Die Services stehen weiterhin uneingeschränkt zur Verfügung. Weitere Sicherheitsmaßnahmen werden in einem kurzfristigen Wartungsfenster umgesetzt. Hierzu benachrichtigen wir Sie separat.

Falls Sie Unterstützung für On-Premises-Systeme benötigen, wenden Sie sich bitte an unseren Support unter fhccbeg@fbsgcebwrpg.qr oder unter +49 7243 56175-333.

Weitere Informationen dazu finden Sie auch beim Bundesamt für Sicherheit in der Informationstechnik.