Sicherheitslücke
log4shell

Für Rückfragen stehen Ihnen unsere Expert*innen zur Verfügung.
Sie erreichen uns über info.ai@all-for-one.com

Hier finden Sie unsere Updates zum Umgang mit den Technologien von IBM, SAP & Microsoft.

21.02.2022 // 16:02 Uhr // IBM

IBM hat eine neue Version von IBM Planning Analytics Workspace veröffentlicht. In PAW Version 2.0.73 wird nun das als momentan sicher angesehene Apache log4j v2.17.1 verwendet. Außerdem wurden einige weitere Sicherheitslücken behoben.

27.01.2022 // 11:24 Uhr // IBM

Hinweis zum IBM Cognos Analytics with Watson „no-update”-Patch.
Laut verschiedenen Quellen kommt es zu Fehlermeldungen, wenn eine Cognos Installation upgegradet wird, auf der zuvor der „no-update“-Patch gegen die Log4Shell Lücke installiert wurde. „Rückstände“ des „no-update“-Patch verbleiben dabei in einer Konfigurationsdatei und müssen manuell entfernt werden.
Eine genaue Beschreibung des Problems findet sich unter:

13.01.2022 // 10:47 Uhr // IBM

Für IBM Cognos Analytics with Watson gibt es ebenfalls eine neue Version des „No-upgrade“ Patch. Auch wenn bereits der erste „No-upgrade“ Patch eingespielt wurde, muss für einen vollständigen Schutz die .jar- Datei durch die neue Version ersetzt werden. Die im Dezember veröffentlichte erste Version des Patches schließt nur einen Teil der Sicherheitslücken.

11.01.2022 // 9:57 Uhr // IBM

IBM hat neue Interims-Fixes für Cognos Analytics bereitgestellt, die Log4j auf die neueste Version (2.17.1) heben. Diese finden Sie hier.

Damit sind alle aktuellen Sicherheitslücken behoben (CVE-2021-45105, CVE-2021-44832, CVE-2021-44228 und CVE-2021-45046).

• Affected Version: IBM Cognos Analytics 11.2.x
  Fix Version: IBM Cognos Analytics 11.2.1 Interim Fix 3
• Affected Version: IBM Cognos Analytics 11.1.x
  Fix Version: IBM Cognos Analytics 11.1.7 Interim Fix 8
• Affected Version: IBM Cognos Analytics 11.0.6 to 11.0.13 FP4
  Fix Version: IBM Cognos Analytics 11.0.13 Interim Fix 5

03.01.2022 // 17:20 Uhr // Microsoft

Log4j-relevante Informationen zu Microsoft Technologien können Sie weiterhin dem Microsoft Security Blog entnehmen. Heute wurde ein Recap für 2022 veröffentlicht: "Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability".

03.01.2022 // 10:14 Uhr // SAP

Sämtliche log4j-relevanten Informationen zu SAP Technologien finden Sie weiterhin auf der offiziellen Seite von SAP, zuletzt aktualisiert am 30.12.2021.Hier werden die einzelnen Technologien den folgenden drei Kategorien zugeordnet: 'No Known Impact', 'Current Patch Application' und 'Patch Pending'.

"SAP arbeitet weiterhin an der Behebung dieser Schwachstellen in allen Dienstleistungen und Produkten. SAP verfolgt die dynamische Entwicklung der Situation und passt ihre Aktivitäten entsprechend an." SAP Global Security, Chief Trust Office

22.12.2021 // 16:30 Uhr // IBM

IBM hat weitere Erkenntnisse zu der Sicherheitslücke gewonnen und Fixes für die nachfolgende Software bereitgestellt.

• IBM Cognos Analytics ab 11.0.7 (Update auf Log4j 2.16): Security Bulletin: IBM Cognos Analytics: Apache Log4j vulnerability (CVE-2021-45046)
• IBM Planning Analytics Workspace (Update auf Log4j 2.17) vom 21.12.21: Security Bulletin: IBM Planning Analytics 2.0: Apache Log4j Vulnerabilities (CVE-2021-45046 & CVE-2021-45105)
• Weitere Fixes für IBM Produkte (z.B. IBM Cognos Controller oder SPSS Produkte): IBM PSIRT Blog

20.12.2021 // 18:30 Uhr // IBM

IBM ist weiterhin mit Hochdruck dabei angreifbare Produkte zu erkennen und Fixes bereitzustellen. Die zuletzt veröffentlichen Fixes scheinen laut Apache Software Foundation die Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics Workspace nur teilweise zu schließen. Zum finalen Abdichten der Lücke wird nach aktuellen Stand ein weiteres Fix benötigt.

In der Zwischenzeit sollte für jede Installation separat geklärt werden, wie hoch das Risiko ist und ob sie ggf. temporär abgeschaltet werden kann.

17.12.2021 // 14:19 Uhr // Microsoft

Sämtliche Informationen zu Microsoft Technologien können Sie dem Microsoft Security Blog entnehmen. Dieser wird stetig aktualisiert.

17.12.2021 // 11:33 Uhr // IBM

IBM stellt einen neuen Patch bereit (Jar-File):

• IBM Cognos Analytics Interim Fix – Apache log4j Vulnerability (vom 16.12.2021)
  Vorläufiger Fix: 11.x-BA-CA-MP-log4jFix
• IBM Cognos Analytics 11.1.7 Interim Fix 6 (vom 15.12.2021)
  Vorläufiger Fix: 11.1.7-BA-CA-Win64-IF006
• IBM Cognos Analytics 11.1.7 Fix Pack 4 (vom 23.11.21)
  Fixpack: 11.1.7-BA-CA-Win64-FP004

16.12.2021 // 18:49 Uhr // IBM

IBM hat Fixes für die Technologien IBM Planning Analytics Workspace, IBM Cognos Analytics with Watson und weitere IBM Produkte herausgebracht. Sofern diese Fixes die Bibliothek „Log4j“ auf Version 2.15.0 updaten, besteht teilweise ein Schutz (Schutz vor Remote Code Execution). Laut IBM X-Force reicht dieser Fix nicht vollständig aus. Dennoch liefert er einen besseren Schutz als die Vorversionen.

14.12.2021 // 16:29 Uhr // IBM

Wir halten uns zu der Sicherheitslücke namens Log4Shell (CVE-2021-44228) minütlich über sämtliche relevante Kanäle informiert. Wir warten auf eine finale Rückmeldung seitens IBM. Auf Basis der unsicheren Informationslage können wir aktuell noch keine Handlungsempfehlung geben.

• BSI (Bundesamt für Sicherheit in der Informationstechnik): höchste Warnstufe
• RedHat: Warnstufe 9,8 von 10
• NIST (National Institute of Standards and Technology): Warnstufe 10 von 10

14.12.2021 // 16:29 Uhr // SAP

Sämtliche Informationen zu SAP Technologien finden Sie auf der offiziellen Seite: "SAP untersucht weiterhin die Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228) im Zusammenhang mit Apache Log4j, die am 10. Dezember 2021 bekannt wurde. SAP rät seinen Kunden, auf die neueste Version von Log4j zu aktualisieren, sofern zutreffend." SAP Global Security, Chief Trust Office

Zum Aufruf der offiziellen Informationen seitens SAP benötigen Sie Ihre SAP Universal ID. Das Dokument wird seitens SAP regelmäßig aktualisiert.

13.12.2021 // 16:28 Uhr // IBM

Sicherheitslücke in IBM Cognos Analytics with Watson und IBM Planning Analytics with Watson nachgewiesen.

Unsere dringende Empfehlung: Schalten Sie sämtliche IBM Analytics Systeme ab, die mit dem Internet verbunden sind und kontaktieren Sie bei Fragen gerne unsere Experten Martin Otto oder Dominik Schott.

• In der Java-Bibliothek 'Log4j' steckt eine Sicherheitslücke.
• Es besteht die Möglichkeit, sich z.B. bei Cognos mit einem manipulierten Textausdruck anzumelden, der von #Log4j ausgeführt wird.
• So können sich Angreifer in Systeme einschleusen und weiteren Schadcode ausführen.
• Betroffen sind im Cognos Umfeld: IBM Cognos Analytics with Watson, Planning Analytics with Watson, SPSS, Planning Analytics Workspace.
• IBM sitzt bereits mit Hochdruck an nötigen Updates.