In unserem Podcast diskutiert Thomas Bahn über Nutzen, Anwendungen und Erfahrungen aus den Bereichen Chatbots und Künstliche Intelligenz. Mehr erfahren

Apache Log4j-Sicherheitslücke CVE-2021-44228: Sind HCL Notes, Domino, Sametime, Connections usw. betroffen? (Update)

von Thomas,
assono GmbH, Standort Kiel,

Seit letzten Freitag gibt es im Bereich IT-Sicherheit eine wichtige Frage mehr: Welches der bei uns eingesetzten Software-Produkte benutzt log4j in einer vulnerablen Version? Die Frage ist auf den zweiten Blick vielleicht noch schwieriger zu beantworten als auf den ersten. Zum einen verwenden viele Lösungen fertige Bibliotheken, die wiederum andere Abhängigkeiten nach sich ziehen, die wieder von anderen Projekten abhängen usw. Zum andere "verstecken" sich fertige Lösungen auch gerne mal in Appliances, in VMs oder in Container-Images.

HCL hat sich die notwendige Zeit genommen, um genau zu prüfen, welche der - in den allermeisten Fällen von anderen Herstellern übernommenen - Programme betroffen sind.

In der Übersichts-Technote "CVE-2021-44228: HCL Security Advisory" werden Technotes zu den einzelnen HCL-Produkten aufgelistet. Die für uns und unsere Kunden vermutlich drei wichtigsten:

Grob gesagt: Fast nichts davon ist betroffen. Das ist die gute Nachricht.

Die Ausnahmen:

HCL Connections setzt auf IBM WebSphere 8.5.5 auf. Und das Hilfesystem von WebSphere nutzt Apache Log4j in der Version 2. IBMs Security Bulletin: Vulnerability in Apache Log4j affects WebSphere Application Server (CVE-2021-44228) gibt mehr Details dazu.

Die HCL-Technotes dazu:

Das Domino AppDev Pack hat seit Version 1.0.5 auch eine Java-Schnittstelle zum Proton-Task. Diese ist bis Version 1.0.10 betroffen, AppDev Pack 1.0.11 ist es nicht mehr. Download wie immer im Flexnet.

Das aktuelle Sametime ab Version 11 nutzt Websphere nicht mehr, der Meetings-Teil setzt allerdings auf Jitsi auf und die Jitsi Video Bridge ist betroffen. Umso erfreulicher fand ich die Nachricht, dass Sametime 11.x und Sametime Premium 11.x doch sicher sind. Für Sametime 9 und 10 gilt allerdings das zu Connections gesagte: das Hilfesystem des darunterliegenden WebSphere Application Servers ist betroffen.

Eine gaaaaanz lange Liste findet man auch im Github: Log4j overview related software. Nichts Offizielles, es werden aber viele Hersteller-Technotes als Quelle verlinkt.

Update am 13. Januar 2022

Die Technote "CVE-2021-44228 + CVE-2021-45046 + CVE-2021-45105 + CVE-2021-44832 + CVE-2021-4104, Log4J / Log4Shell Security Advisory for Notes, Domino, Verse, Traveler and related products" wurde ergänzt. Das Domino AppDev Pack 1.0.11 war wohl doch noch von den im späteren Verlauf entdeckten weiteren Lücken betroffen.

"AppDev Pack versions 1.0.5 and later reference log4j2. As of this writing the latest release of AppDev Pack, version 1.0.12, updates the referenced version of log4j2 to 2.17.1 [...]"

Die Version 1.0.12 ist es nicht mehr. Download wie immer im Flexnet.

Quellen:

Fachbeitrag HCL Notes HCL Domino HCL Connections HCL Sametime Administration Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 416
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de