Entschärfen Sie die Apache Log4j2 JNDI-Sicherheitslücke in Jitterbit Harmony

Zusammenfassung

Diese Seite fasst die Sicherheitslücken in Apache Log4j2 zusammen, beschreibt ihre Auswirkungen auf Jitterbit-Produkte und erklärt, wie die Sicherheitslücken behoben wurden.

Entdeckung von Schwachstellen

Am 9. Dezember 2021 wurde eine kritische Zero-Day-Sicherheitslücke von Apache offengelegt, das Apache Log4j2 betrifft (CVE-2021-44228). Eine weitere damit verbundene Sicherheitslücke wurde von Apache am 14. Dezember 2021 offengelegt (CVE-2021-45046).

Schadensbegrenzung für private Agenten

Am 16. Dezember 2021 führte Jitterbit eine Notfallwartung durch, um die Sicherheitslücken in Apache Log4j2 zu beheben.

Nach Abschluss der Wartung am 16. Dezember 2021 um 17:00 Uhr PST (17. Dezember 2021 12:00 Uhr AEDT; 17. Dezember 2021 2:00 Uhr MEZ; 17.12.2021 01:00 UTC) müssen Sie die folgenden Schritte ausführen, damit das Update wirksam wird:

1. Auf jedem privaten Agenten müssen Sie alle JAR-Dateien manuell löschen. <JITTERBIT_HOME>/Connectors. (Ausgenommen hiervon sind alle JAR-Dateien für Konnektoren, die Sie lokal installiert haben.)
2. Jeder private Agent muss neu gestartet werden.
3. Führen Sie einen Operation aus, bei dem jeder Connector verwendet wird, oder testen Sie jede Verbindung für jedes Connector-JAR auf dem Agenten.

Wenn Sie nach Abschluss der Wartung nicht alle oben genannten Schritte in dieser Reihenfolge ausgeführt haben, tun Sie dies umgehend, um Ihr Unternehmen vor diesen Sicherheitslücken zu schützen.

In einer früheren Version dieser Seite wurden Benutzer lediglich angewiesen, private Agenten neu zu starten. Ein Neustart privater Agenten ist für die meisten Konnektoren wirksam. Für einige Konnektoren ist es jedoch erforderlich, alle Schritte auszuführen. Wir empfehlen, alle JAR-Dateien im Connectors Verzeichnis, um sicherzustellen, dass Sie vor diesen Sicherheitslücken geschützt sind. Sie können Ihren Schutz überprüfen, indem Sie nach log4j in allen Dateinamen und Überprüfung der Log4j-Version wie unten beschrieben.

Bisherige Problemumgehung für private Agenten

Vor dem 16. Dezember 2021 wurde auf dieser Seite bereits vor der Notfallwartung ein Workaround zur manuellen Behebung der Sicherheitslücken veröffentlicht. Dieser Workaround ist für private Agentenversionen nicht mehr erforderlich.

Wenn Sie den Workaround bereits durchgeführt haben, müssen Sie ihn nicht rückgängig machen. Sollten Sie private Agenten seit Abschluss der Notfallwartung nicht neu gestartet haben, sollten Sie die Agenten neu starten, damit sie das Update erhalten. Über den Neustart hinaus werden hinsichtlich dieser Sicherheitslücken keine weiteren Maßnahmen empfohlen.

Was sind die JNDI-Schwachstellen von Apache Log 4j2?

Aus der NIST National Vulnerability Database CVE-2021-44228:

Apache Log4j2 \<=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From Log4j 2.15.0, this behavior has been disabled by default.

Eine damit verbundene Sicherheitslücke ist CVE-2021-45046, das eine Sicherheitslücke in der Bibliothek Log4j 2.15.0 beschreibt. Beide Sicherheitslücken werden hier behandelt und behoben.

Welche Jitterbit-Produkte waren von den Sicherheitslücken betroffen?

Diese Schwachstellen waren auf Integration Studio-Konnektoren beschränkt, die mit dem Integration Studio Connector SDK erstellt wurden („Integration Studio Connector SDK-Konnektoren“).

Da Konnektoren normalerweise nicht als eigenständige Jitterbit-Produkte gelten und auf einem Jitterbit-Agenten ausgeführt werden müssen, sind einige Erläuterungen erforderlich, um die Auswirkungen und die Maßnahmen zur Behebung dieser Schwachstellen zu erläutern:

• Was ist ein Integration Studio Connector SDK-Connector?
  Integration Studio Connector SDK-Konnektoren sind Konnektoren, die mit dem Integration Studio Connector SDK erstellt wurden. Sie umfassen derzeit bestimmte Konnektoren, die von Jitterbit oder einem Drittanbieter erstellt wurden:
  • Jitterbit: Die meisten der aktuellen Integration Studio Anwendungskonnektoren wurden mit dem Connector SDK erstellt. Ausnahmen sind die Konnektoren NetSuite, Salesforce, Salesforce Service Cloud, SAP und ServiceMax, die nicht mit dem Connector SDK erstellt wurden und daher nicht betroffen sind. Siehe die vollständige Liste unten der von diesen Sicherheitslücken betroffenen Jitterbit-Konnektoren. Zukünftige Konnektoren, die von Jitterbit mit dem Connector SDK erstellt werden, sind davon nicht betroffen.
  • Drittanbieter: Da das Connector SDK für die Erstellung von Integration Studio Konnektoren öffentlich verfügbar ist, verwendet Ihr Unternehmen möglicherweise weitere Konnektoren, die von einem Partner oder Drittanbieter mit dem Connector SDK erstellt wurden und ebenfalls von diesen Sicherheitslücken betroffen sein können. Wenden Sie sich bitte an den Anbieter dieses Konnektors, um zu erfahren, ob dieser den Konnektor überprüft und gegebenenfalls korrigiert hat.
• In welcher Beziehung stehen diese Konnektoren zu Agenten?
  Die neueste Version eines Integration Studio Connector SDK-Connectors wird bei Bedarf von einem Jitterbit-Agenten von Harmony heruntergeladen, wenn Sie den Connector verwenden.
• Welche Agenten waren betroffen?
  Jeder Cloud- oder private Agent, der einen Integration Studio Connector SDK-Connector verwendete, war von den Sicherheitslücken betroffen, da die Apache Log4j2-Bibliothek heruntergeladen und auf dem Agenten verwendet wurde, um Protokolle zu schreiben, wenn der Connector verwendet wurde.
  • Cloud-Agenten: Jitterbit hat diese Schwachstellen bei Cloud-Agenten umgehend durch entsprechende Sicherheitsmaßnahmen behoben. Es sind keine weiteren Maßnahmen erforderlich.
  • Private Agenten: Bei privaten Agenten wurden Kunden vor der Notfallwartung am 16. Dezember 2021 angewiesen, die zuvor dokumentierte Problemumgehung zu befolgen, um diese Schwachstellen zu beheben.

Diese Jitterbit-Produkte waren nicht betroffen:

• Agenten, die noch nie einen Integration Studio Connector SDK-Connector verwendet haben: Nicht betroffen.
• Jitterbit Design Studio (und seine Konnektoren): Nicht betroffen.
• Jitterbit Harmony Cloud: Nicht betroffen.
• Jitterbit eiCloud: Nicht betroffen.

Jitterbit Integration Studio Connector SDK-Anschlüsse

Nachfolgend finden Sie eine Liste aller Integration Studio Konnektoren mit Stand vom 16. Dezember 2021, die von Jitterbit mit dem Integration Studio Connector SDK erstellt wurden und von den Apache Log4j-Sicherheitslücken betroffen sind.

Da das Connector SDK für Entwickler öffentlich zugänglich ist, verwendet Ihr Unternehmen möglicherweise einen hier nicht aufgeführten Connector, der von einem Partner oder Drittpartei mithilfe des Integration Studio Connector SDK erstellt wurde. Diese Connectors können ebenfalls von den Apache Log4j-Sicherheitslücken betroffen sein. Wenden Sie sich bitte an den Anbieter dieses Connectors, um zu erfahren, ob dieser den Connector überprüft und gegebenenfalls korrigiert hat.

• Amazon Redshift
• Amazon S3
• Amazon SQS
• Apache Kafka
• BigCommerce
• BMC Helix Business Workflows
• BMC Helix ITSM
• BMC Helix Operations Management
• Box
• Cherwell
• Constant Contact
• Coupa
• DocuSign
• EDI for Cloud
• Elasticsearch

• E Email
• Epicor Kinetic
• Evernote
• GitHub
• Google Docs
• Google Drive
• Google Sheets
• Gzip
• HubSpot
• Jira
• JMS
• LDAP
• Magento
• Microsoft Dynamics CRM
• Microsoft Teams

• MongoDB
• OData
• PagerDuty
• RabbitMQ
• SAP Concur
• ServiceNow
• Shopify
• Slack
• Smartsheet
• Snowflake
• Square
• SugarCRM
• Workday
• Workday Prism Analytics
• Zendesk

Was hat die Wartung vom 16. Dezember 2021 bewirkt?

Am 16. Dezember 2021 führte Jitterbit eine Notfallwartung durch, um die Apache Log4j2-Schwachstellen zu beheben.

Im Rahmen der Wartung hat Jitterbit die mit dem Connector SDK erstellten Integration Studio Konnektoren aktualisiert, um eine verfügbare Version der Log4j-Bibliothek zu verwenden, die die beiden Apache Log4j-Sicherheitslücken behebt.

Nach Abschluss der Wartung am 16. Dezember 2021 um 17:00 Uhr PST (17. Dezember 2021 12:00 Uhr AEDT; 17. Dezember 2021 02:00 Uhr MEZ; 17.12.2021 01:00 UTC) müssen Sie die folgenden Schritte durchführen, damit das Update wirksam wird:

1. Auf jedem privaten Agenten müssen Sie alle JAR-Dateien manuell löschen von <JITTERBIT_HOME>/Connectors. (Ausgenommen hiervon sind alle JAR-Dateien für Konnektoren, die Sie lokal installiert haben.)
2. Jeder private Agent muss neu gestartet werden.
3. Führen Sie einen Operation aus, bei dem der Connector verwendet wird, oder testen Sie die Verbindung.

Wenn Sie nach Abschluss der Wartung nicht alle oben genannten Schritte in dieser Reihenfolge ausgeführt haben, tun Sie dies umgehend, um Ihr Unternehmen vor diesen Sicherheitslücken zu schützen.

In einer früheren Version dieser Seite wurden Benutzer lediglich angewiesen, private Agenten neu zu starten. Ein Neustart privater Agenten ist für die meisten Konnektoren wirksam. Für einige Konnektoren ist es jedoch erforderlich, alle Schritte auszuführen. Wir empfehlen, alle JAR-Dateien im Connectors Verzeichnis, um sicherzustellen, dass Sie vor diesen Sicherheitslücken geschützt sind. Sie können Ihren Schutz überprüfen, indem Sie nach log4j in allen Dateinamen und Überprüfung der Log4j-Version wie unten beschrieben.

Wie kann ich den Schutz vor diesen Sicherheitslücken bestätigen?

Nachdem Sie die Maßnahmen zur Risikominderung für private Agenten umgesetzt haben, können Sie Ihren Schutz überprüfen, indem Sie in den Unterverzeichnissen der Agenteninstallation nach Dateinamen suchen, die Folgendes enthalten: log4j.

Alle früheren Dateinamen, die Folgendes enthalten: log4jund eine Seriennummer der Version 2, wie etwa log4j-api-2.11.1.jar, sollte nicht mehr vorhanden sein. Alle Dateinamen der Log4j-Version 2 sollten nun durch einen Namen ersetzt werden, der mindestens die Version 2.16.0 angibt.

Für weitere Unterstützung wenden Sie sich bitte an den Jitterbit-Support.

Bisherige Problemumgehung für private Agenten

Diese Problemumgehung wurde bereits vor der Notfallwartung am 16. Dezember 2021 veröffentlicht. Sie wird nicht mehr benötigt, und die Sicherheitslücken werden nach der Wartung am 16. Dezember 2021 durch einen Neustart der Agenten behoben. Wenn Sie diese Problemumgehung bereits durchgeführt und die privaten Agenten neu gestartet haben, sind keine weiteren Maßnahmen erforderlich.

Kunden mit privaten Agenten wurden bereits die folgenden Schritte zum Schutz vor den Apache Log4j-Sicherheitslücken empfohlen.

Vorsicht

• Es empfiehlt sich, private Agenten hinter einer Firewall ohne eingehende Ports zu platzieren. Dies schützt vor eingehenden Exploits.
• Diese Einstellungen werden beim Aktualisieren oder Upgraden überschrieben.

Privater Linux Agent

Bei privaten Linux Agenten besteht die manuelle Problemumgehung darin, das Script für den Tomcat-Server zu bearbeiten.

Die zu ändernde Datei ist catalina.sh, gelegen in <JITTERBIT_HOME>/tomcat/bin/catalina.sh Bei einer typischen Installation befindet sich dieser an folgendem Ort:

/opt/jitterbit/tomcat/bin/catalina.sh

1. Fügen Sie die folgende Zeile direkt nach den Kommentarzeilen am Anfang der Datei ein:

   JAVA_OPTS="$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true"
   

2. Zum Beispiel:

   . . .
   # case the default is "true"
   # -----------------------------------------------------------------------------
   JAVA_OPTS="$JAVA_OPTS -Dlog4j2.formatMsgNoLookups=true"
   
   # OS specific support. $var _must_ be set to either true or false.
   . . .
   

3. Speichern Sie die Änderungen in der Datei und beenden Sie den Editor.

4. Starten Sie den privaten Agenten neu:

   > jitterbit stop
   > jitterbit start
   

Überprüfung der Änderung

Um die Ergebnisse dieser Änderung zu überprüfen, führen Sie den folgenden Befehl aus: ps -ef | grep javaund suchen Sie in der Ausgabe nach -Dlog4j2.formatMsgNoLookups=true.

Privater Windows Agent

Für private Windows-Agenten müssen Sie die Registrierung bearbeiten.

Vorsicht

Falsche Änderungen an der Windows Registrierung können Auswirkungen auf das Windows Betriebssystem haben. Seien Sie daher bei diesen Änderungen vorsichtig.

Gehen Sie folgendermaßen vor:

1. Stoppen Sie den privaten Windows Agenten.

2. Verwenden Sie die Windows Suche, um zu finden regedit Öffnen Sie damit den Registrierungseditor.

3. Navigieren Sie zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\Jitterbit Tomcat Server\Parameters\Java.

4. Ändern Sie die Optionen und fügen Sie Folgendes vor dem -Xms Zeile:

   -Dlog4j2.formatMsgNoLookups=true
   

   Beispiel:

   

5. Beenden Sie den Registrierungseditor.

6. Starten Sie den privaten Windows Agenten neu.

Überprüfung der Änderung

So überprüfen Sie die Ergebnisse dieser Änderung:

• Öffnen Sie Notepad (oder einen ähnlichen Editor).

• Öffnen Sie die aktuellste Protokolldatei unter:

  <JITTERBIT_HOME>\tomcat\logs\catalina.{date}.log
  

• Suche nach -Dlog4j2.formatMsgNoLookups=true Um zu überprüfen, ob das Befehlszeilenargument verwendet wird.

Beispiel einer Überprüfungsausgabe