TechAlert: Sind Software-Lösungen von DPS Software GmbH von der Log4j-Schwachstelle (im Zusammenhang mit dem Open-Source-Programm Apache Log4j Utility (CVE-2021-44228) betroffen?

By TechAlert, , ,

TechAlert:

Sind Software-Lösungen von DPS Software GmbH von der Log4j-Schwachstelle (im Zusammenhang mit dem Open-Source-Programm Apache Log4j Utility (CVE-2021-44228) betroffen?

Antwort:

Die DPS Applikationen (TopsWorks, DPS Tools wie z.B. JobBox, ViewBox, VarBox, MacroSheet, TableAddin, DPS Lizenzserver usw.) basieren auf dem .Net Framework und sind von der aktuellen Schwachstelle (CVE-2021-44228) in log4j nicht betroffen.

In den Stunden nach der Ankündigung hat Dassault Systèmes im Rahmen der Schwachstellen- und Bedrohungserkennungsprozesse sofortige Maßnahmen ergriffen, um potenzielle Risiken im Zusammenhang mit dem SaaS-Angebot der 3DEXPERIENCE-Plattform zu minimieren:
Die Nutzer der Dassault Systèmes-Software-Lösungen Collaborative Designer for X-CAD  werden gebeten das Update HF0.4 aufzuspielen , welches ab dem 14.12.2021 15:00 Uhr MEZ verfügbar sein wird.
Bei unseren Cloud-Kunden der 3DEXPERIENCE-Plattform, die Collaborative Designer for X-CAD nicht nutzen, sind keine Maßnahmen erforderlich.

 

Wie kann generell geprüft werden, ob meine Installation von der Software-Schwachstelle betroffen ist?

Gemäß dem KB-Eintrag von Dassault “QA00000102301 Are Dassault Systemes solutions impacted by Log4j vulnerability?” kann eine Überprüfung Ihres Betriebssystem in Bezug auf die Sicherheitslücke CVE-2021-44228 durchgeführt werden:
Bitte suchen Sie in der Installation nach der folgenden Datei: *log4j-core*.jar
Wenn Sie kein Ergebnis finden, können Sie den Vorgang hier abbrechen. Die gemeldete Log4j-Schwachstelle trifft nicht auf Ihre Installation zu.

Wenn Sie eine Übereinstimmung finden, ist die log4j2-Bibliothek installiert und könnte ausgenutzt werden. Bitte führen Sie diese Schritte aus:
Laden Sie log4j v2.15.0 von der Apache-Website herunter.
Suchen Sie nun nach allen zusätzlichen jar-Dateien (siehe vollständige Liste am Ende) und ersetzen Sie jede Übereinstimmung durch
die Version 2.15.0. Stellen Sie sicher, dass der ursprüngliche Dateiname unverändert bleibt.

Die Ersetzungs- und Umbenennungsoperationen müssen für alle in der Liste gefundenen jar-Dateien durchgeführt werden
Beispiel#1 (mit Versionsnummer im Namen):
Wenn Sie log4j-core-2.11.2.jar finden:
1. Entfernen Sie log4j-core-2.11.2.jar
2. Kopieren Sie log4j-core-2.15.0.jar an den gleichen Ort
3. Benennen Sie log4j-core-2.15.0.jar in log4j-core-2.11.2.jar um

Beispiel#2 (ohne Versionsnummer im Namen):
Wenn Sie log4j-docker.jar finden:
1. Entfernen Sie log4j-docker.jar
2. Kopieren Sie log4j-docker.jar an den gleichen Ort
3. Benennen Sie log4j-docker.jar in log4j-docker.jar um.
Vollständige Liste der Jar-Dateien, nach denen zu suchen ist, wenn *log4j-core*.jar gefunden wird:

  • *log4j-1.2-api*.jar
  • *log4j-api*.jar
  • *log4j-appserver*.jar
  • *log4j-cassandra*.jar
  • *log4j-kern*-tests.jar
  • *log4j-kern*.jar
  • *log4j-couchdb*.jar
  • *log4j-docker*.jar
  • *log4j-flume-ng*.jar
  • *log4j-iostreams*.jar
  • *log4j-jcl*.jar
  • *log4j-jdbc-dbcp2*.jar
  • *log4j-jmx-gui*.jar
  • *log4j-jpa*.jar
  • *log4j-jul*.jar
  • *log4j-liquibase*.jar
  • *log4j-mongodb3*.jar
  • *log4j-mongodb4*.jar
  • *log4j-slf4j-impl*.jar
  • *log4j-slf4j18-impl*.jar
  • *log4j-spring-boot*.jar
  • *log4j-spring-cloud-konfiguration-klient*.jar
  • *log4j-taglib*.jar
  • *log4j-zu-slf4j*.jar
  • *log4j-web*.jarBitte starten Sie das System im Anschluss neu.