In der vergangenen Woche wurde eine Sicherheitslücke („CVE-2021-44228“) in der weit verbreiteten Java-Protokollierungsbibliothek Log4j bekannt. Das BSI hat eine entsprechende Warnung herausgegeben. Über die Sicherheitslücke kann das Ausführen von aus dem Internet heruntergeladenen Programmteilen auf dem jeweiligen Server („remote code execution“) möglich sein.
Achtung: Die folgenden Informationen gelten ausschließlich für die CompuDMS Versionen 7.2, 7.3, 8.0 und 8.1. Sofern Sie noch eine ältere Version einsetzen, empfehlen wir dringend, Ihr CompuDMS System zu aktualisieren!
Die Volltextsuchfunktion von CompuDMS basiert auf der Drittsoftware „ElasticSearch“. Diese wiederum verwendet JAVA und auch die betroffene JAVA-Bibliothek „Log4J“. Allerdings geben die Entwickler von ElasticSearch an (https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476), dass sie – bedingt durch den Einsatz des „Java Security Managers“ – gegen die Ausführung von Fremdcode (remote code execution) geschützt sind.
Bei Nutzung von JAVA (JDK) Version 8 könne es jedoch zu einer ungewollten Preisgabe von Systemeigenschaften kommen. Dies umfasst aber nicht die in CompuDMS gespeicherten Dokumenteninhalte. Die Versionen 7.2, 7.3, 8.0 und 8.1 von CompuDMS enthalten bereits die JAVA (JDK) Version 11.
Das Ausnutzen dieser Schwachstelle wird dadurch erschwert, dass der Zugriff auf die ElasticSearch Volltextsuche in der Standard-Installation nur von dem Server aus möglich ist, auf dem CompuDMS installiert wurde (localhost) sowie indirekt über den CompuDMS Client. Beides erfordert ja zuvor eine Benutzeranmeldung.
Um die eventuelle ungewollte Informationspreisgabe zu unterbinden und aus Gründen der allgemeinen Vorsicht empfehlen die Entwickler von ElasticSearch und auch wir das Aktivieren einer spezifischen JAVA-Konfigurationsoption.
Dies können Sie unmittelbar selbst gemäß der zum Download unter [https://www.compukoeln.de/download/docs/CompuDMS-Professional_Anpassung-JAVA-Parameter.pdf] bereitgestellten Anleitung durchführen. Alternativ werden wir in der nächsten Woche eine aktualisierte Version CompuDMS 8.1.2 veröffentlichen, welche diese Option standardmäßig bei Installation und Aktualisierung setzt.