Änderungen von Dokument Allgemeine Sicherheitsempfehlungen

Von 29.1 nach 30.1 Von 31.11 nach 31.12

Von Version 30.1

bearbeitet von MKO
am 25.11.2021, 12:02

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 31.11

bearbeitet von gru
am 12.12.2021, 20:55

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
- tomcat_log4j_settings.png

Details

Seiteneigenschaften

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.mko
++XWiki.gru

Inhalt

@@ -1,3 +1,15 @@
++{{info}}
++Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke enthält. Momentan können wir noch nicht abschätzen, inwieweit diese in Kombination mit {{formcycle/}} ausgenutzt werden kann. In der Zwischenzeit empfehlen wir daher, die [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die verwendete Log4j-Version empfohlene Mitigation umzusetzen und für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Umgebungsvariablen zu setzen.
++
++Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden:
++[[image:tomcat_log4j_settings.png||width="350"]]
++
++Unter Linux werden Umgebungsvariablen bei Apache Tomcat Installationen üblicherweise in der Datei {{code language="none"}}setenv.sh{{/code}} gesetzt. Diese könnte nach dem Setzen des Parameters dann zum Beispiel den folgenden Inhalt für die Java-Optionen aufweisen:
++{{code language="none"}}export JAVA_OPTS="-Dfile.encoding=UTF-8 -Xms1024m -Xmx4096m -Dlog4j2.formatMsgNoLookups=true"{{/code}}
++
++Bei der Verwendung von anderen Servlet-Containern als dem Apache Tomcat konsultieren Sie bitte die Dokumentation dieses Servlet-Containers, an welcher Stelle dieser Parameter übergeben werden kann.
++{{/info}}
++
  {{content/}}
  Für einen möglichst sicheren Betrieb von {{formcycle/}} sind je nach Systemumgebung und Anwendungsfällen verschiedene Konfigurationen möglich bzw. empfohlen. Hierbei ist zu unterscheiden zwischen der Konfiguration der Umgebung wie z.B. des Tomcat-Servers, der ggf. vorgeschaltenen Web-Server, Proxies oder Load-Balancer und der Konfiguration von {{formcycle/}} selbst.

tomcat_log4j_settings.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.gru

Größe

...	...	@@ -1,0 +1,1 @@
	1	+17.9 KB

Inhalt