20. Dezember 2021, Anna Völkl

Log4j: Magento nur indirekt betroffen

Log4j SicherheitslĂŒcke - wir sind nicht betroffen!

Log4j: Magento nur indirekt betroffen

Eine sehr kritische SicherheitslĂŒcke wurde vor einigen Tagen entdeckt und hĂ€lt seitdem viele Softwarehersteller und Systemadministratoren auf Trab: “Log4Shell” genannt, bezeichnet jene SicherheitslĂŒcke, mit der die AusfĂŒhrung von externem, schadhaften Code via Log4j (Remote Code Execution) ermöglicht wird.

Auch in der Magento Welt spielt die SicherheitslĂŒcke eine Rolle, da unter UmstĂ€nden Software eingesetzt wird, die wiederum Log4j verwendet.

Was ist log4j?

log4j ist eine Software-Komponenten, die zum Logging von internen Anwendungsmeldungen verwendet wird. Die auf der Programmiersprache Java basierende Komponente ist sehr populÀr und wird von vielen verschiedenen Programmen als interne AbhÀngigkeit (Software Dependency) verwendet.

Die gute Nachricht: Magento selbst verwendet log4j nicht.

Allerdings gibt es Software, die gemeinsam mit Magento verwendet wird, die möglicherweise anfÀllig ist: ElasticSearch, Solr oder Logstash.

ElasticSearch ist ab Magento 2.4 verpflichtend als Datenspeicher fĂŒr den Katalog und die Suche erforderlich. Ältere Magento-Installationen können ebenfalls Suchfunktionen auf Basis von Elasticsearch oder Solr verwenden.

Logstash ist ein Programm zum Sammeln und Weiterleiten von Daten, ĂŒblicherweise fĂŒr ein zentrales und ĂŒbersichtliches Logging in Elasticsearch und Kibana.

Eine zentrale Frage ist auch, ob und welche der eingesetzten Services öffentlich erreichbar sind.

Wenn eine der genannten Software im Einsatz ist, sollte diese dringend aktualisiert werden. 

Betroffene Versionen und neue Releases

ElasticSearch Versionen 6.8.9+, 7.8+ die auf dem Java JDK 9+ laufen, sind von der SicherheitslĂŒcke NICHT betroffen. Ältere Elasticsearch oder SDK Versionen sind betroffen. Elastiscsearch and Logstash 7.16.2 and 6.8.22 sind die neuesten Versionen, in denen die SicherheitslĂŒcke behoben ist.

Die Solr Versionen 7.4.0 to 7.7.3, 8.0.0 to 8.11.0 sind betroffen. Es ist notwendig, auf die neueste Version 8.11.1 upzudaten.

Wir haben alle von uns betreuten Shops und deren AbhĂ€ngigkeiten zu ElasticSearch geprĂŒft. Unsere Systeme wurden entsprechend auf die letzte Version aktualisiert und sind somit nicht betroffen.

Bei Fragen stehen wir Ihnen zur VerfĂŒgung!