webPDF Sicherheitsupdate Version r2372 zu log4j Sicherheitslücke CVE-2021-44228

Minimum technical requirements

  • Java version: 11
  • webPDF version: 8 (revision 2372)

Dieses aktuelle Update beinhaltet Sicherheit-Updates und -Fixes zu der am 09.12. 2021 gefundenen Sicherheitslücke CVE-2021-44228 (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) in der Drittanbieterbibliothek log4j. Wir möchten Sie wie folgt in Bezug auf webPDF informieren:

  • webPDF 7 setzt die o.g. Bibliothek in der Version 1 ein und ist daher nicht betroffen.
  • webPDF 8 setzt die o.g. Bibliothek in der Version 2 ein und ist daher betroffen.

Aus der oben aufgeführten Beschreibung ergeben sich verschiedene Möglichkeiten, um das Problem in webPDF 8 zu beheben.

  1. der Rechner hat keine externe Verbindung zum Internet, um evtl. schädliche Anfragen auszuführen
  2. ab Log4j Version 2.10 gibt es den Parameter log4j2.formatMsgNoLookups mit dem Wert true, um diese Funktion zu deaktivieren (siehe auch o.g. Link zum CVE-2021-44228)
  3. Installation der log4j Version >= 2.15, da diese Version die Sicherheitslücke schließt, da sie das problematische Feature standardmäßig deaktiviert
  4. als Notfallmaßnahme (wenn keine der anderen Maßnahmen anwendbar ist): Die Klasse JndiLookup aus dem Classpath entfernen, d.h. aus dem JAR-File log4j-core*.jar
    (Beispiel: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).

Zu Punkt 2) sind folgende Versionen bei webPDF zu beachten:
• bis zur Revision < 1705 wird die log4j Version 2.9.1 eingesetzt, d.h. hier ist ein Update von webPDF dringend notwendig und der Parameter kann nicht verwendet werden
• ab Revision 1705 ist die Version 2.11.1 (und aktueller) von log4j im Einsatz, d.h. ab hier kann der Parameter log4j2.formatMsgNoLookups verwendet werden
Die aktuelle Revision r2238 von webPDF setzt log4j 2.14.1, wo der Parameter ebenfalls verwendet werden kann.

Parameter eintragen: Der Parameter log4j2.formatMsgNoLookups kann unter Windows in die webPDF.vmoptions bzw. webPDF.service.vmoptions eingetragen werden.
-Dlog4j2.formatMsgNoLookups=true
Unter Linux kann der Parameter in die Datei webpdf.service (unter ExecStart=) bzw. webpdf.sh (unter javaOpt=) aufgenommen werden.

Zu Punkt 3)
Ein Update von webPDF 8 auf log4j 2.15 steht auf der Download-Seite https://download.softvision.de/?product=webpdf mit der Revision 2372 zur Verfügung. Auch die Packages unter https://packages.softvision.de/ wurden entsprechend aktualisiert.

Für weitere Fragen oder technische Unterstützung stehen wir gerne zur Verfügung

Ihr SoftVision Team