20. Dezember 2021, Anna V├Âlkl

Log4j: Magento nur indirekt betroffen

Log4j Sicherheitsl├╝cke - wir sind nicht betroffen!

Log4j: Magento nur indirekt betroffen

Eine sehr kritische Sicherheitsl├╝cke wurde vor einigen Tagen entdeckt und h├Ąlt seitdem viele Softwarehersteller und Systemadministratoren auf Trab: ÔÇťLog4ShellÔÇŁ genannt, bezeichnet jene Sicherheitsl├╝cke, mit der die Ausf├╝hrung von externem, schadhaften Code via Log4j (Remote Code Execution) erm├Âglicht wird.

Auch in der Magento Welt spielt die Sicherheitsl├╝cke eine Rolle, da unter Umst├Ąnden Software eingesetzt wird, die wiederum Log4j verwendet.

Was ist log4j?

log4j ist eine Software-Komponenten, die zum Logging von internen Anwendungsmeldungen verwendet wird. Die auf der Programmiersprache Java basierende Komponente ist sehr popul├Ąr und wird von vielen verschiedenen Programmen als interne Abh├Ąngigkeit (Software Dependency) verwendet.

Die gute Nachricht: Magento selbst verwendet log4j nicht.

Allerdings gibt es Software, die gemeinsam mit Magento verwendet wird, die m├Âglicherweise anf├Ąllig ist: ElasticSearch, Solr oder Logstash.

ElasticSearch ist ab Magento 2.4 verpflichtend als Datenspeicher f├╝r den Katalog und die Suche erforderlich. ├ältere Magento-Installationen k├Ânnen ebenfalls Suchfunktionen auf Basis von Elasticsearch oder Solr verwenden.

Logstash ist ein Programm zum Sammeln und Weiterleiten von Daten, ├╝blicherweise f├╝r ein zentrales und ├╝bersichtliches Logging in Elasticsearch und Kibana.

Eine zentrale Frage ist auch, ob und welche der eingesetzten Services ├Âffentlich erreichbar sind.

Wenn eine der genannten Software im Einsatz ist, sollte diese dringend aktualisiert werden. 

Betroffene Versionen und neue Releases

ElasticSearch Versionen 6.8.9+, 7.8+ die auf dem Java JDK 9+ laufen, sind von der Sicherheitslücke NICHT betroffen. Ältere Elasticsearch oder SDK Versionen sind betroffen. Elastiscsearch and Logstash 7.16.2 and 6.8.22 sind die neuesten Versionen, in denen die Sicherheitslücke behoben ist.

Die Solr Versionen 7.4.0 to 7.7.3, 8.0.0 to 8.11.0 sind betroffen. Es ist notwendig, auf die neueste Version 8.11.1 upzudaten.

Wir haben alle von uns betreuten Shops und deren Abh├Ąngigkeiten zu ElasticSearch gepr├╝ft. Unsere Systeme wurden entsprechend auf die letzte Version aktualisiert und sind somit nicht betroffen.

Bei Fragen stehen wir Ihnen zur Verf├╝gung!