| ... |
... |
@@ -1,17 +1,15 @@ |
| 1 |
1 |
{{info}} |
| 2 |
|
- |
| 3 |
|
-Die {{formcycle/}} Versionen 7.0.0 bis 7.0.11 enthalten eine Version vom Spring Framework, welche die am 31.03.2022 bekannt gewordene Sicherheitslücke [[CVE-2022-22965>>https://tanzu.vmware.com/security/cve-2022-22965]] enthält. |
| 4 |
|
-Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält. |
|
2 |
+ |
|
3 |
+Die {{formcycle/}} Versionen 7.0.0 bis 7.0.6 verwenden eine Version von Log4j, welche die am 10.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44228>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228]] enthält. |
| 5 |
5 |
Die {{formcycle/}} Versionen 7.0.0 bis 7.0.7 verwenden wiederum eine Version von Log4j, welche die am 14.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45046>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046]] enthält. |
| 6 |
|
-Die {{formcycle/}} Versionen 7.0.0 bis 7.0.8 verwenden wiederum eine Version von Log4j, welche die am 18.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45105>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105]] enthält. |
| 7 |
|
-Die {{formcycle/}} Versionen 7.0.0 bis 7.0.9 verwenden wiederum eine Version von Log4j, welche die am 11.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-44832>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832]] enthält. |
|
5 |
+Die {{formcycle/}} Versionen 7.0.0 bis 7.0.8 verwenden eine Version von Log4j, welche die am 18.12.2021 bekannt gewordene Sicherheitslücke [[CVE-2021-45105>>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105]] enthält. |
| 8 |
8 |
|
| 9 |
|
-Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.12>>doc:Blog.WebHome]] zu aktualisieren, die neue Versionen von Log4j und dem Spring Framework verwendet, welche die Sicherheitslücken nicht mehr enthält.** |
|
7 |
+Momentan kennen wir kein Szenario, bei der diese Sicherheitslücken in {{formcycle/}} ausgenutzt werden können. **Wir empfehlen trotzdem, auf die {{formcycle/}} [[Version 7.0.8>>doc:Blog.FORMCYCLE 708.WebHome]] zu aktualisieren, die eine neue Version von Log4j verwendet, welche die Sicherheitslücken nicht mehr enthält.** |
| 10 |
10 |
{{/info}} |
| 11 |
11 |
|
| 12 |
12 |
{{info}} |
| 13 |
13 |
|
| 14 |
|
-Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
|
12 |
+Für Installationen, bei denen eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, empfehlen wir die Mitigation für __CVE-2021-44228__ umzusetzen, welche [[vom Hersteller>>https://logging.apache.org/log4j/2.x/security.html]] und [[vom BSI>>https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile]] für die in den möglicherweise betroffenen {{formcycle/}} Versionen verwendete Log4j-Version empfohlen wird. Diese sieht vor, für den verwendeten Servlet-Container die Option {{code language="none"}}-Dlog4j2.formatMsgNoLookups=true{{/code}} in den Java-Optionen zu setzen. |
| 15 |
15 |
|
| 16 |
16 |
Für einen unter Windows laufenden Apache Tomcat kann dies beispielsweise im //Tomcat Monitor// an folgender Stelle getan werden: |
| 17 |
17 |
[[image:tomcat_log4j_settings.png||width="350"]] |
| ... |
... |
@@ -21,7 +21,7 @@ |
| 21 |
21 |
|
| 22 |
22 |
Bei der Verwendung von anderen Servlet-Containern als dem Apache Tomcat konsultieren Sie bitte die Dokumentation dieses Servlet-Containers, an welcher Stelle dieser Parameter übergeben werden kann. |
| 23 |
23 |
|
| 24 |
|
-Falls eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ & __CVE-2021-45105__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche [[betroffene Konfigurationen>>https://logging.apache.org/log4j/2.x/security.html]] enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden. |
|
22 |
+Falls eine Aktualisierung auf die aktuelle {{formcycle/}} Version nicht möglich ist, ist eine Mitigation von __CVE-2021-45046__ nur dann nötig, wenn manuell Logpattern konfiguriert worden, welche [[betroffene Konfigurationen>>https://logging.apache.org/log4j/2.x/security.html]] enthalten. In diesem Fall sollten die entsprechenden Pattern entfernt werden. |
| 25 |
25 |
{{/info}} |
| 26 |
26 |
|
| 27 |
27 |
{{content/}} |
| ... |
... |
@@ -81,14 +81,10 @@ |
| 81 |
81 |
|
| 82 |
82 |
=== Verwendung eines Viren-Scanners === |
| 83 |
83 |
|
| 84 |
|
-Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden {{formcycle/}}-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Hierbei gibt es zwei Möglichkeiten: |
|
82 |
+Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden {{formcycle/}}-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Dieser kann auf das {{formcycle/}}-Datenverzeichnis konfiguriert werden und sollte somit alle schädlichen Dateien löschen. {{formcycle/}} erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der hochgeladenen Dateien. |
| 85 |
85 |
|
| 86 |
|
-: Zum einen kann der Virenscanner auf das {{formcycle/}}-Datenverzeichnis konfiguriert werden und sollte somit alle schädlichen Dateien löschen. {{formcycle/}} erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der hochgeladenen Dateien. |
| 87 |
|
-: Details über die Datenverzeichnisse von {{formcycle/}}: [[{{formcycle/}}-Hilfe>>doc:Formcycle.SystemSettings.TomcatSettings.ChangeDataDirectory||target="_blank"]] |
|
84 |
+Details über die Datenverzeichnisse von {{formcycle/}}: [[{{formcycle/}}-Hilfe>>doc:Formcycle.SystemSettings.TomcatSettings.ChangeDataDirectory||target="_blank"]] |
| 88 |
88 |
|
| 89 |
|
-: Zum anderen kann für bestimmte Virenscanner ein [[Virenscanner Plugin>>Formcycle.PluginDocumentation.MalwareScannerPlugins]] verwendet werden, welches den Virenscanner direkt anspricht, um Dateien von ihm überprüfen zu lassen. |
| 90 |
|
- |
| 91 |
|
- |
| 92 |
92 |
== Konfigurationen innerhalb von {{formcycle/}} == |
| 93 |
93 |
|
| 94 |
94 |
=== Verschlüsselung von Formular-Daten/Datenbank === |
