Kritische Schwachstelle

So schützen Sie Ihre Sage Produkte vor log4j

16. Dezember 2021

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Eine kritische Schwachstelle hat nun möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von log4j Teile der Nutzeranfragen protokollieren.

Inhalt

    Allgemeine Bewertung zu Sage und log4j

    Log4j wird in vielen Java-Anwendungen eingesetzt. Der Schutz gegen eine aktive, breite Ausnutzung ist durch die Verfügbarkeit eines PoC sehr gering. Das Patchmanagement von Java-Anwendungen ist nicht trivial, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen empfohlen werden.

    Wenngleich das Nachladen von Schadcode über den im PoC aufgezeigten Weg bei Grundschutz-konform eingerichteten Systemen fehlschlagen sollte, sind auch andere Wege denkbar, ggf. auch automatisiert und ohne Nachladen Schadcode zur Ausführung zu bringen. Hierbei ist die Komplexität im Vergleich zum PoC deutlich erhöht.

    Die kritische Schwachstelle in log4j und Ihr Sage Produkt

    Besonders gefährdet von log4j sind die beliebten Sage-Anwendungen Sage CRM sowie das Sage-Dokumentenmanagement bzw. die digitale Personalakte. Darüber hinaus gibt aber auch für einige andere Sage Lösung Punkte zu beachten. Hier klären wir Sie auf:

    Sage CRM und log4j

    Das Sage-CRM-Team wird für die aktuell unterstützten Versionen Patches liefern. Für folgende Versionen sind sie bereits im Test: Sage CRM 2020 R2, Sage CRM 2021 R1, Sage CRM 2021 R2. Sobald sie verfügbar sind, werden Sie hier informiert. (Stand 15.12.2021)

    Sage CRM, das Dokumentenmanagement bzw. die Digitale Personalakte und log4j

    In den Desktopprodukten ist kein Tool betroffen, das Sage-seitig genutzt wird. Sollte im Folgegeschäft der "Presentation-Server" genutzt werden, müssen kundenindividuell die Webapps der Log4j Bibliothek aktualisiert werden

    In den Cloudprodukten ist die "Aufgabenverwaltung" betroffen. Bei den Cloudprodukten erfolgt ein automatisches Patch durch d.velop.

    Bei Nutzung des Presentation Servers (z.B. für Workflowengine) muss eine manuelle Anpassung erfolgen. Da es sich hier jedoch nicht um eine Standardkomponente handelt, die im Sage Server Setup genutzt wird, sondern nur bei Folgegeschäft zum Tragen kommt, informieren Sie sich bitte bei d.velop:

    Sage 50 Connected und Sage 50 Handwerk (SmartFinder)

    Das im SmartFinder verwendete ApacheSolr 5.3.1 wird per Default auf die Weise ausgeliefert und installiert, dass es den RollingFileAppender benutzt. Dieser kann technisch keine JNDI Anfragen erstellen. Aus diesem Grund ist der SmartFinder und damit auch Sage50 Connected sowie Sage50 Handwerk von diesen Schwachstellen CVE-2021-44228 & CVE-2021-4104 nicht betroffen.

    Sage 50 Handwerk mobile Objects

    Der Webservice ist nicht von dem Problem betroffen

    Sage b7

    Llog4j-1.*.jar wird verwendet aber in der Properties-Datei der JMS Appender über die Eigenschaften ist TopicBindingName oder TopicConnectionFactoryBindingName nicht gesetzt.

    Sage X3

    Wenn die Installation nach den Security Guidelines erfolgt ist, besteht kein Risiko. Falls die Guidelines nicht beachtet wurden, gibt es eine Komponente, die ggf. ein Update erfordert um sie abzusichern. Es handelt sich dabei um Elastic Search und ein Update ist bereits auf der Hersteller Website verfügbar.

    E-Bilanz HSH

    Opti.Tax und entsprechende OEM Client Versionen sind von dieser Java Sicherheitslücke nicht betroffen. Log4j wird von uns nicht verwendet. Es besteht kein Handlungsbedarf.

    Webshop epages

    Nach jetzigem Stand (14.12.2021) ist der Shop von epages nicht direkt betroffen. Lediglich die Logfile Aggregation mit Logstash und Elasticsearch benutzt die betroffene Bibliothek. Dafür hat epages gestern einen Workaround eingespielt.

    Folgende Sage Produkte sind nicht von der kritischen Schwachstelle in log4j betroffen, da sie ohne Java Technologie Stack auskommen:

    • Sage ERP
    • Sage 100
    • xRM
    • HR Suite
    • LohnXL
    • Sage Business Cloud Payroll
    • SOO
    • Sage Wincarat
    • OL24 / Sage100 Hosting
    • Sage New Classic / SNC Webclient
    • Sage Online-Portale (ServiceWelt, PartnerForum, SupportCenter usw.)
    • TMS Archiv (HR)
    • Sage 50 Handwerk Cloud (powered by Loginfinity)

    Fazit

    Die Auswirkung der kritischen Schwachstelle in log4j auf Ihre Sage Anwendung

    Sage CRM und die digitale Personalakte

    Die Schwachstelle kann besonders auf die Sage CRM und die digitale Personalakte negative Auswirkungen haben: Versuchen Sie, sich möglichst bald mit einem Patch bzw. einem Update zu schützen.

    Alle anderen Sage Anwendungen

    Bei allen weiteren Produkten von Sage haben Sie in der Regel nichts zu befürchten. Falls Sie doch noch unsicher sind, helfen wir Ihnen gerne weiter.

    Sie haben noch Fragen zur kritischen Schwachstelle in log4j und der damit verbundenen Gefahr für Ihre Sage Software?

    Sprechen Sie uns an.

    Kajenth Kirupakaran

    Ihr Ansprechpartner

    Kajenth Kirupakaran
    Sage Support
    [email protected]
    +49 251 928711-21