Vor Kurzem wurde eine kritische Sicherheitslücke in einer weit verbreiteten Programmbibliothek entdeckt, von der sehr viele Anwendungen betroffen sind – so bspw. auch das beA. Für Details gern den Hinweis des BSI sowie unsere Beiträge auf Twitter überfliegen:
Analyse der Clientsecurity vom 10. Dezember:
Die vom j-lawyer.org Client verwendete Javaversion verhindert jedoch, dass der Fehler zum Tragen kommen / ausgenutzt werden kann. Da man in IT-Sicherheitsfragen lieber mit Gürtel und Hosenträger unterwegs sein will, gibt es kurzerhand ein Update für den j-lawyer.org Client in Version 2.0.1. Die Downloads sind an üblicher Stelle zu finden.
Der Server nutzt die Bibliothek in einer „abgespeckten“ Variante, welche den angreifbaren Teil nicht enthält. Ebenso greifen auch hier die restriktiveren Einstellungen der verwendeten Javaversion. Wir empfehlen trotz allem tätig zu werden.
j-lawyer.BOX:
In der Verwaltungsoberfläche wird ein Update angeboten, das bitte installieren.
Windows:
Datei j-lawyer-server\wildfly\bin\standalone.conf.bat bearbeiten.
Nach dem Abschnitt
rem # Prefer IPv4
set "JAVA_OPTS=%JAVA_OPTS% -Djava.net.preferIPv4Stack=true"
eine Leerzeile, gefolgt von diesen beiden Zeilen einfügen:
rem # log4j2 security measure
set "JAVA_OPTS=%JAVA_OPTS% -Dlog4j2.formatMsgNoLookups=true"
Danach den Dienst neu starten.
Linux und macOS:
Datei j-lawyer-server/wildfly/bin/standalone.conf bearbeiten.
Nach dem Abschnitt
#Sample JPDA settings for remote socket debugging
#JAVA_OPTS="$JAVA_OPTS -agentlib:jdwp=transport=dt_socket,address=8787,server=y,suspend=n"
eine Leerzeile, gefolgt von diesen beiden Zeilen einfügen:
# security measure log4j2
JAVA_OPTS="$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true"
Danach den Dienst neu starten.