20. Dezember 2021, Anna Völkl

Log4j: Magento nur indirekt betroffen

Log4j Sicherheitslücke - wir sind nicht betroffen!

Log4j: Magento nur indirekt betroffen

Eine sehr kritische Sicherheitslücke wurde vor einigen Tagen entdeckt und hält seitdem viele Softwarehersteller und Systemadministratoren auf Trab: “Log4Shell” genannt, bezeichnet jene Sicherheitslücke, mit der die Ausführung von externem, schadhaften Code via Log4j (Remote Code Execution) ermöglicht wird.

Auch in der Magento Welt spielt die Sicherheitslücke eine Rolle, da unter Umständen Software eingesetzt wird, die wiederum Log4j verwendet.

Was ist log4j?

log4j ist eine Software-Komponenten, die zum Logging von internen Anwendungsmeldungen verwendet wird. Die auf der Programmiersprache Java basierende Komponente ist sehr populär und wird von vielen verschiedenen Programmen als interne Abhängigkeit (Software Dependency) verwendet.

Die gute Nachricht: Magento selbst verwendet log4j nicht.

Allerdings gibt es Software, die gemeinsam mit Magento verwendet wird, die möglicherweise anfällig ist: ElasticSearch, Solr oder Logstash.

ElasticSearch ist ab Magento 2.4 verpflichtend als Datenspeicher für den Katalog und die Suche erforderlich. Ältere Magento-Installationen können ebenfalls Suchfunktionen auf Basis von Elasticsearch oder Solr verwenden.

Logstash ist ein Programm zum Sammeln und Weiterleiten von Daten, üblicherweise für ein zentrales und übersichtliches Logging in Elasticsearch und Kibana.

Eine zentrale Frage ist auch, ob und welche der eingesetzten Services öffentlich erreichbar sind.

Wenn eine der genannten Software im Einsatz ist, sollte diese dringend aktualisiert werden. 

Betroffene Versionen und neue Releases

ElasticSearch Versionen 6.8.9+, 7.8+ die auf dem Java JDK 9+ laufen, sind von der Sicherheitslücke NICHT betroffen. Ältere Elasticsearch oder SDK Versionen sind betroffen. Elastiscsearch and Logstash 7.16.2 and 6.8.22 sind die neuesten Versionen, in denen die Sicherheitslücke behoben ist.

Die Solr Versionen 7.4.0 to 7.7.3, 8.0.0 to 8.11.0 sind betroffen. Es ist notwendig, auf die neueste Version 8.11.1 upzudaten.

Wir haben alle von uns betreuten Shops und deren Abhängigkeiten zu ElasticSearch geprüft. Unsere Systeme wurden entsprechend auf die letzte Version aktualisiert und sind somit nicht betroffen.

Bei Fragen stehen wir Ihnen zur Verfügung!

Kontaktieren Sie uns!

Weitere Informationen

https://sansec.io/news/magento-log4j-log4shell

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html

 

https://m.xkcd.com/2347/