Log4j: Magento nur indirekt betroffen
Eine sehr kritische Sicherheitslücke wurde vor einigen Tagen entdeckt und hält seitdem viele Softwarehersteller und Systemadministratoren auf Trab: “Log4Shell” genannt, bezeichnet jene Sicherheitslücke, mit der die Ausführung von externem, schadhaften Code via Log4j (Remote Code Execution) ermöglicht wird.
Auch in der Magento Welt spielt die Sicherheitslücke eine Rolle, da unter Umständen Software eingesetzt wird, die wiederum Log4j verwendet.
Was ist log4j?
log4j ist eine Software-Komponenten, die zum Logging von internen Anwendungsmeldungen verwendet wird. Die auf der Programmiersprache Java basierende Komponente ist sehr populär und wird von vielen verschiedenen Programmen als interne Abhängigkeit (Software Dependency) verwendet.
Die gute Nachricht: Magento selbst verwendet log4j nicht.
Allerdings gibt es Software, die gemeinsam mit Magento verwendet wird, die möglicherweise anfällig ist: ElasticSearch, Solr oder Logstash.
ElasticSearch ist ab Magento 2.4 verpflichtend als Datenspeicher für den Katalog und die Suche erforderlich. Ältere Magento-Installationen können ebenfalls Suchfunktionen auf Basis von Elasticsearch oder Solr verwenden.
Logstash ist ein Programm zum Sammeln und Weiterleiten von Daten, üblicherweise für ein zentrales und übersichtliches Logging in Elasticsearch und Kibana.
Eine zentrale Frage ist auch, ob und welche der eingesetzten Services öffentlich erreichbar sind.
Wenn eine der genannten Software im Einsatz ist, sollte diese dringend aktualisiert werden.
Betroffene Versionen und neue Releases
ElasticSearch Versionen 6.8.9+, 7.8+ die auf dem Java JDK 9+ laufen, sind von der Sicherheitslücke NICHT betroffen. Ältere Elasticsearch oder SDK Versionen sind betroffen. Elastiscsearch and Logstash 7.16.2 and 6.8.22 sind die neuesten Versionen, in denen die Sicherheitslücke behoben ist.
Die Solr Versionen 7.4.0 to 7.7.3, 8.0.0 to 8.11.0 sind betroffen. Es ist notwendig, auf die neueste Version 8.11.1 upzudaten.
Wir haben alle von uns betreuten Shops und deren Abhängigkeiten zu ElasticSearch geprüft. Unsere Systeme wurden entsprechend auf die letzte Version aktualisiert und sind somit nicht betroffen.