Änderungen von Dokument Allgemeine Sicherheitsempfehlungen

Von 36.1 nach 36.2

Von Version 36.2

bearbeitet von gru
am 01.02.2022, 17:34

Änderungskommentar: Tag [Sicherheit] hinzugefügt

Auf Version 37.1

bearbeitet von gru
am 25.05.2022, 08:35

Änderungskommentar: Initiale Anpassung für Virenscanner Plugin

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -1,15 +1,17 @@
  {{info}}
--
--Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält.
++
++Die {{formcycle/}} Versionen 7.0.0 bis 7.0.11 enthalten eine Version vom Spring Framework, welche die am 31.03.2022 bekannt gewordene Sicherheitslücke [[CVE-2022-22965>>https://tanzu.vmware.com/security/cve-2022-22965]] enthält.
++Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält.
  Die {{formcycle/}} Versionen 7.0.0 bis 7.0.7 verwenden wiederum eine Version von Log4j, welche die am 14.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45046>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046]] enthält.
--Die {{formcycle/}} Versionen 7.0.0 bis 7.0.8 verwenden wiederum eine Version von Log4j, welche die am 18.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45105>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105]] enthält.
++Die {{formcycle/}} Versionen 7.0.0 bis 7.0.8 verwenden wiederum eine Version von Log4j, welche die am 18.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45105>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105]] enthält.
++Die {{formcycle/}} Versionen 7.0.0 bis 7.0.9 verwenden wiederum eine Version von Log4j, welche die am 11.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44832>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832]] enthält.
--Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.9>>doc:Blog.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücken nicht mehr enthält.**
++Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.12>>doc:Blog.WebHome]] zu aktualisieren, die neue Versionen von Log4j und dem Spring Framework verwendet, welche die Sicherheitslücken nicht mehr enthält.**
  {{/info}}
  {{info}}
--Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen.
++Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen.
  Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden:
  [[image:tomcat_log4j_settings.png||width="350"]]
@@ -79,10 +79,14 @@
  === Verwendung eines Viren-Scanners ===
--Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden {{formcycle/}}-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Dieser kann auf das {{formcycle/}}-Datenverzeichnis konfiguriert werden und sollte somit alle schädlichen Dateien löschen. {{formcycle/}} erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der hochgeladenen Dateien.
++Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden {{formcycle/}}-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Hierbei gibt es zwei Möglichkeiten:
--Details über die Datenverzeichnisse von {{formcycle/}}: [[{{formcycle/}}-Hilfe>>doc:Formcycle.SystemSettings.TomcatSettings.ChangeDataDirectory||target="_blank"]]
++: Zum einen kann der Virenscanner auf das {{formcycle/}}-Datenverzeichnis konfiguriert werden und sollte somit alle schädlichen Dateien löschen. {{formcycle/}} erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der hochgeladenen Dateien.
++: Details über die Datenverzeichnisse von {{formcycle/}}: [[{{formcycle/}}-Hilfe>>doc:Formcycle.SystemSettings.TomcatSettings.ChangeDataDirectory||target="_blank"]]
++: Zum anderen kann für bestimmte Virenscanner ein [[Virenscanner Plugin>>Formcycle.PluginDocumentation.MalwareScannerPlugins]] verwendet werden, welches den Virenscanner direkt anspricht, um Dateien von ihm überprüfen zu lassen.
++
++
  == Konfigurationen innerhalb von {{formcycle/}} ==
  === Verschlüsselung von Formular-Daten/Datenbank ===