Veröffentlicht Tue, 14 Dec 2021 08:56:31 GMT von Matthias Wieland Senior Director Support EMEA
Anbei unser offizieller Sicherheitshinweis DocuWare und log4J2 Sicherheitslücke [DW-2021-0001.1]. 

Die gute Nachricht vorab: Unsere Cloud- und On-Premises Systeme sind nicht (mehr) betroffen.

Der Sicherheitshinweis wird heute auch per Email an alle Kunden und Partner versandt.

 
Veröffentlicht Tue, 14 Dec 2021 08:57:28 GMT von Matthias Wieland Senior Director Support EMEA

Sicherheitshinweis: DocuWare und log4J2 Sicherheitslücke [DW-2021-0001.1]

Veröffentlicht Tue, 14 Dec 2021 16:48:05 GMT von Thomas Hayder EBB Truck-Center GmbH Leitung IT
Hallo Herr Wieland,

laut BSI Veröffentlichung CSW-Nr. 2021-549032-1432, Version 1.4 (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf) sind unter bestimmten Voraussetzungen auch die Versionen 1.x betroffen.

Im Gegenzug ist die allgemein empfohlene Maßnahme des Setzens der Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS erst ab den Versionen 2.10 funktional.

Da beide Punkte aus der BSI Meldung somit für mein Verständnis dem DocuWare Security Advisory zu widersprechen scheinen, würde ich mich um eine Klarstellung seitens DocuWare in Bezug auf OnPrem Systeme mit SOLR freuen.

Hier die Textstellen aus der BSI Veröffentlichung:

Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint.

Alternativ kann auch die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt werden. Diese beiden Mitigationsmaßnahmen funktionieren erst ab Log4J Version 2.10.


LG Thomas Hayder
Veröffentlicht Wed, 15 Dec 2021 09:37:28 GMT von Thomas Frank
Wurde die Vorgehensweise von DocuWare getestet mit dem manuellen Patch des TOMCAT ?
Wir als ADPs operieren da ja sozuagen am offenen Herzen.

Die Aussage Selbst für den unwahrscheinlichen Fall, dass sich eines der oben genannten Analyseergebnisse
als falsch erweist, empfehlen wir zur Sicherheit die folgenden Maßnahmen 
heisst wir müssen die Maßnahmen ergreifen.

Wäre es vielleicht sinnvoll, als Hersteller der Software den Kunden im Zuge der bezahlten SSVs einfach einen Hotfix bereitzustellen der die Lücken dann auch schließt ?
Veröffentlicht Wed, 15 Dec 2021 10:01:27 GMT von Matthias Wieland Senior Director Support EMEA
Hallo Herr Hayder!

Zu Ihren Fragen kann ich folgendes mitteilen:
 

zu 1.):

Log4J 1.x beinhaltet nicht den Code mit der ursprünglichen Lücke - insofern ist es nicht erforderlich die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS zu setzen.

zu 2.)

"Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]"

Diese zitierte Verwundbarkeit in Log4J 1.x ist eine ANDERE Verwundbarkeit. Bei DocuWare liegt diese schadhafte Konfiguration NICHT vor -insofern sind DocuWare OnPrem Systeme davon nicht betroffen

Veröffentlicht Wed, 15 Dec 2021 12:44:30 GMT von Thomas Frank
Hallo Herr Wieland heisst das konkret, dass wir das Tomcat Update dann gar nicht benötigen und alles lassen können ? Systeme wurde alle über das Setup von DocuWare Grund-installiert.
Wir haben von 7.1 bis 7.5 on Prem alles bei Kunden laufen also in der DocuWare supportbaren Version. 7.1 lösen wir bis April ab.

Dort wo wir nicht die IT machen kann ich das erstmal so an die IT kommunizieren.

Wir haben aber auch Kunden wo unsere IT Abteilung nicht nur DocuWare sondern die komplette Infrastruktur mitbetreut und die wollen eine konkrete Aussage von uns als DocuWare Abteilung was jetzt zu tun ist oder auch nicht. Vorsorglich haben wir alle DocuWare Mobile Zugänge  und Zugriffe von aussen mal dicht gemacht, bis es mehr Klarheit gibt.
Veröffentlicht Wed, 15 Dec 2021 12:59:49 GMT von Matthias Wieland Senior Director Support EMEA
Hallo Herr Frank!

Richtig, das Tomcat Update wird nicht zwingend benötigt, da, nach aktuellem Kenntnisstand, die entsprechende Tomcat Version NICHT betroffen ist. 
Veröffentlicht Wed, 15 Dec 2021 15:18:13 GMT von Matthias Wieland Senior Director Support EMEA
Anbei finden Sie eine Aktualisierung unseres Sicherheitshinweises bzgl. CVE-2021-45046
Es sind keine DocuWare Produkte von CVE-2021-45046 betroffen.
 
Veröffentlicht Thu, 20 Jan 2022 09:32:11 GMT von Claas Hanken Head of Support DMS/Workflow
Ändert sich diese Einschätzung nach den neuen für Log4j Version 1.x bekannt gegebenen Sicherheitslücken (CVE-2022-23302, CVE-2022-23305 und CVE-2022-23307, siehe https://logging.apache.org/log4j/1.2/ )?
Veröffentlicht Thu, 20 Jan 2022 12:34:36 GMT von Matthias Wieland Senior Director Support EMEA
Die interne Überprüfung durch unser Security Team hat ergeben, dass DocuWare NICHT von CVE-2022-23302, CVE-2022-23305 und CVE-2022-23307 betroffen ist.

Sie müssen angemeldet sein um Beiträge in den Foren zu erstellen.