webPDF Sicherheitsupdate Version r2372 zur log4j Sicherheitslücke CVE-2021-44228

Sicherheitsupdate

Dieses aktuelle Update beinhaltet Sicherheitsupdates und Fixes zur am 09.12.2021 gefundenen Sicherheitslücke CVE-2021-44228 (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) in der Drittanbieterbibliothek log4j. Wir möchten Sie wie folgt in Bezug auf webPDF informieren:

  • webPDF 7 setzt die o. g. Bibliothek in Version 1 ein und ist daher nicht betroffen.
  • webPDF 8 setzt die o. g. Bibliothek in Version 2 ein und ist daher betroffen.

Aus der oben aufgeführten Beschreibung ergeben sich verschiedene Möglichkeiten, um das Problem in webPDF 8 zu beheben:

  1. Der Rechner hat keine externe Verbindung zum Internet, um eventuell schädliche Anfragen auszuführen.
  2. Ab log4j Version 2.10 gibt es den Parameter log4j2.formatMsgNoLookups mit dem Wert true, um diese Funktion zu deaktivieren (siehe auch den Link zu CVE-2021-44228).
  3. Installation von log4j Version >= 2.15, da diese Version die Sicherheitslücke schließt und das problematische Feature standardmäßig deaktiviert.
  4. Als Notfallmaßnahme (wenn keine der anderen Maßnahmen anwendbar ist): die Klasse JndiLookup aus dem Classpath entfernen, d. h. aus dem JAR-File log4j-core*.jar.

Beispiel:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Zu Punkt 2) sind folgende Versionen bei webPDF zu beachten:

  • Bis zur Revision < 1705 wird log4j Version 2.9.1 eingesetzt, d. h. hier ist ein Update von webPDF dringend notwendig und der Parameter kann nicht verwendet werden.
  • Ab Revision 1705 ist Version 2.11.1 (und aktueller) von log4j im Einsatz, d. h. ab hier kann der Parameter log4j2.formatMsgNoLookups verwendet werden.

Die aktuelle Revision r2238 von webPDF setzt log4j 2.14.1 ein, wo der Parameter ebenfalls verwendet werden kann.

Parameter eintragen: Der Parameter log4j2.formatMsgNoLookups kann unter Windows in die webPDF.vmoptions bzw. webPDF.service.vmoptions eingetragen werden.

-Dlog4j2.formatMsgNoLookups=true

Unter Linux kann der Parameter in die Datei webpdf.service (unter ExecStart=) bzw. webpdf.sh (unter javaOpt=) aufgenommen werden.

Zu Punkt 3)

Ein Update von webPDF 8 auf log4j 2.15 steht auf der Download-Seite mit der Revision 2372 zur Verfügung. Auch die Packages unter https://packages.softvision.de/ wurden entsprechend aktualisiert.

Für weitere Fragen oder technische Unterstützung stehen wir gerne zur Verfügung.

Ihr SoftVision Team