Sicherheitslücken in der Softwarebibliothek log4j

Die erste Sicherheitslücke CVE-2021-44228 wurde durch das BSI mit der höchsten IT-Bedrohungslage "4/Rot" bewertet. Diese steht für einen "extrem kritischen" Zustand.

Hintergrund dieser Bewertung ist, dass ein Angreifer eines Systems, dass die Bibliothek log4j verwendet, unter Angabe einer bestimmten Zeichenfolge in das betreffende Protokoll einen beliebigen Schadcode aus dem Internet nachladen und ausführen kann.

Es ist davon auszugehen, dass diese Sicherheitslücke systematisch ausgenutzt wird, um andere Angriffe wie z. B. den Einsatz von Schadsoftware auf dem System vorzubereiten bzw. zu ermöglichen. Eine besondere Gefährdungslage besteht für Systeme, die aus dem Internet erreichbar sind.

Die solutio GmbH & Co. KG hat am Montag, den 13.12.2021 umgehend reagiert, alle Kunden informiert und noch am selben Tag ein ungeplantes Sicherheitsupdate für die charly-Version 9.21.0 veröffentlicht.

Dieses Sicherheitsupdate folgt der Maßnahmenempfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI), welches dies in seiner "BSI-Cybersicherheitswarnung" beschreibt: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf.

Betroffen sind die folgenden Komponenten aller charly-Versionen bis einschließlich 9.21.0, auf denen das ungeplante Sicherheitsupdate vom 13.12.2021 noch nicht ausgeführt wurde:

1. Neo charly-Java-Server (NCJS): Der NCJS wird dauerhaft auf dem Server der Praxis ausgeführt.
2. charly-Java-Client (CJC): Der CJC bei Bedarf auf dem Client der Praxis gestartet.
3. charly-Updater: Der "charly-Updater" wird für die Aktualisierung von Server und Client verwendet und ausschließlich auf dem Server der Praxis ausgeführt.

Für die Komponenten NCJS und CJC wurde die Schwachstelle durch das ungeplante Sicherheitsupdate physikalisch aus der verwendeten log4j-Bibliothek entfernt.

Weiterhin hat solutio die im charly-Updater verwendete log4j-Version entsprechend der Empfehlung des BSIs auf die als sicher geltende log4j-Version 2.15 für das ungeplante Sicherheitsupdate angehoben. Das ungeplante Sicherheitsupdate verändert bei der Einspielung weder die Version der Clientanwendung charly noch die einer der drei o. g. betroffenen Komponenten.

Am 14.12.2021 folgte dann die Identifikation der zweiten Sicherheitslücke CVE-2021-45046, welche einen „Denial of Service (DOS)“-Angriff im Zusammenspiel mit einer bestimmten Konfiguration der Bibliothek ermöglicht. Diese Schwachstelle wurde durch die Entwickler der Bibliothek mit der am selben Tag veröffentlichten log4j-Version 2.16 korrigiert.

Das ungeplante Sicherheitsupdate der charly-Version 9.21.0 vom 13.12.2021 schützt die Komponenten NCJS und CJC bereits vor diesem Angriff. Das Bedrohungspotential für charly ist äußerst gering, da es durch Ausnutzung dieser zweiten Sicherheitslücke nicht möglich ist, Schadcode nachzuladen oder das System zu übernehmen, sondern lediglich die Funktionsfähigkeit des charly-Updaters während seiner Ausführung zu stören. Aus diesem Grund ist ein weiteres ungeplantes Sicherheitsupdate obsolet.

Mit dem nächsten geplanten Update auf die charly-Version 9.22.0 am 20.12.2021 werden alle Komponenten die Version 2.16 der Bibliothek log4j verwenden. Somit ist die Verwundbarkeit dauerhaft beseitigt.