Sicherheitslücke „Log4Shell“ und j-lawyer.org


Vor Kurzem wurde eine kritische Sicherheitslücke in einer weit verbreiteten Programmbibliothek entdeckt, von der sehr viele Anwendungen betroffen sind – so bspw. auch das beA. Für Details gern den Hinweis des BSI sowie unsere Beiträge auf Twitter überfliegen:

Analyse der Clientsecurity vom 10. Dezember:

Analyse der Änderungen, welche die BRAK über’s Wochenende umgesetzt hat:
Auch j-lawyer.org ist „betroffen“ in dem Sinn, dass die verwundbare Bibliothek vom Client verwendet wird.

Die vom j-lawyer.org Client verwendete Javaversion verhindert jedoch, dass der Fehler zum Tragen kommen / ausgenutzt werden kann. Da man in IT-Sicherheitsfragen lieber mit Gürtel und Hosenträger unterwegs sein will, gibt es kurzerhand ein Update für den j-lawyer.org Client in Version 2.0.1. Die Downloads sind an üblicher Stelle zu finden.

Zum Downloadportal

Der Server nutzt die Bibliothek in einer „abgespeckten“ Variante, welche den angreifbaren Teil nicht enthält. Ebenso greifen auch hier die restriktiveren Einstellungen der verwendeten Javaversion. Wir empfehlen trotz allem tätig zu werden.

j-lawyer.BOX:

In der Verwaltungsoberfläche wird ein Update angeboten, das bitte installieren.

Windows:

Datei j-lawyer-server\wildfly\bin\standalone.conf.bat bearbeiten.

Nach dem Abschnitt

rem # Prefer IPv4
set "JAVA_OPTS=%JAVA_OPTS% -Djava.net.preferIPv4Stack=true"

eine Leerzeile, gefolgt von diesen beiden Zeilen einfügen:

rem # log4j2 security measure
set "JAVA_OPTS=%JAVA_OPTS% -Dlog4j2.formatMsgNoLookups=true"

Danach den Dienst neu starten.

Linux und macOS:

Datei j-lawyer-server/wildfly/bin/standalone.conf bearbeiten.

Nach dem Abschnitt

#Sample JPDA settings for remote socket debugging
#JAVA_OPTS="$JAVA_OPTS -agentlib:jdwp=transport=dt_socket,address=8787,server=y,suspend=n"

eine Leerzeile, gefolgt von diesen beiden Zeilen einfügen:

# security measure log4j2
JAVA_OPTS="$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true"

Danach den Dienst neu starten.

Schreibe einen Kommentar