Esri untersucht aktiv die Auswirkungen der Log4j Schwachstellen auf Esri Software.

Update: 31.12.2021; 08:30

Esri Software enthält diese Logging-Werkzeuge:

  • CVE-2021-44228 – Log4j 2.x JNDILookup RCE fix 1
    –  Veröffentlicht: 09.12.2021 – Critical
  • CVE-2021-45046 – Log4j 2.x JNDILookup fix 2
    –  Veröffentlicht: 14.12.2021 – Critical
  • CVE- 2021-4104 – Log4j 1.2 JMSAppender
    –  Veröffentlicht: 14:12:2021 – High
  • CVE-2021-45105 – Log4j 2.x Context Lookups DoS
    –  Disclosed on 12/18/21 – High
  • CVE-2021-44832 – Log4j 2.x JDBCAppender
    –  Disclosed 12/28/21 – Medium

Bitte folgen Sie für die neuesten Informationen diesem Blog: ArcGIS Software and CVE-2021-44228

Zusätzlich haben wir noch einen Support Artikel mit den FAQs veröffentlicht: FAQ: Frequently Asked Questions about Log4j vulnerability

Inzwischen stehen auch erste Patches bereit: Die ersten Patches für die Log4j Schwachstelle in ArcGIS Enterprise sind verfügbar – ArcGIS Blog (esri.de)

Das folgenden Informationen sind dem obenstehenden Blog entnommen.

Zwei Aspekte, die Ihre Organisation grundsätzlich in Betracht ziehen sollte, sind Warn- und Blockierungsmechanismen für dieses Problem. Um die Implementierung von empfohlenen Blockierungsmechanismen in einer Web Application Firewall (WAF) mit Esri-Produkten zu erleichtern, haben wir den Leitfaden für ArcGIS Enterprise Web Application Filter (WAF) Rules, der sich im für Kunden zugänglichen Dokumentenbereich des ArcGIS Trust Centers befindet, aktualisiert, um Log4Shell-Angriffe zu berücksichtigen.

ArcGIS Enterprise

Mehrere ArcGIS Enterprise-Komponenten enthalten die verwundbare log4j-Bibliothek, jedoch ist derzeit kein Exploit für irgendeine Version einer ArcGIS Enterprise-Basisimplementierung (einschließlich der Komponenten ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store) oder für einen eigenständigen ArcGIS Server bekannt.

Esri hat die potenziellen Auswirkungen von CVE-2021-45105, einem Denial-of-Service-Angriff mit unendlicher Rekursion gegen Log4j, in Portal for ArcGIS, ArcGIS Server und ArcGIS Data Store evaluiert und festgestellt, dass diese Softwarekomponenten nicht die Muster verwenden, die Angreifer benötigen, um diese Schwachstelle tatsächlich auszunutzen.

Esri hat Log4Shell-Skripte zur Risikominimierung erstellt, deren Anwendung auf alle Installationen und Versionen, auch für die Versionen 10.8 und neuer, von ArcGIS Enterprise und ArcGIS Server dringend empfohlen wird. Die Skripte entfernen die JndiLookup-Klasse, was die einzige von Apache Log4j empfohlene Entschärfungsmaßnahme ist, die keine Aktualisierung der Log4j-Version erfordert. Diese Maßnahme behebt CVE-2021-44228 und CVE-2021-45046 vollständig. Die Skripte wurden für die Versionen 10.6 und höher validiert, sie sollten jedoch auch mit älteren Versionen von ArcGIS Enterprise und ArcGIS Server funktionieren.
Separate detaillierte Anleitungen und Skripte sind verfügbar für:

Hinweis:

  • Nach der Anwendung der Skripte werden auf diesen Systemen immer noch anfällige Log4j-Versionsnummern angezeigt, der anfällige Code ist jedoch entfernt worden.
  • [Update] Die ArcGIS Enterprise-Basiskomponenten verwenden keinen JMSAppender mit Log4j 1.2 und sind daher nicht anfällig für
    • Log4j 1.2 JMSAppender – CVE-2021-4104
    • Log4j 2.x JDBCAppender – CVE-2021-44832
  • Der ArcGIS Web Adaptor nutzt nicht den Log4j-Kern und ist daher nicht verwundbar.
  • Zusätzlich zu diesen Skripten werden im Laufe der Zeit Patches für unterstützte Versionen der betroffenen Softwarekomponenten zur Verfügung gestellt.
  • Allen Kunden wird dringend empfohlen, die mitgelieferten Skripte zu verwenden, anstatt auf die Verfügbarkeit weiterer Patches zu warten.

ArcGIS Notebook Server

Der Notebook Server besteht aus zwei Komponenten, einem Basis Framework und einem Docker-Container-Image

  • Das Framework enthält kein Log4j, mit Ausnahme der Version 10.7.x. Diese Version enthält allerdings nicht die anfällige JMSAppender-Klasse und ist daher auch nicht für die CVEs die weiter oben aufgelistet sind, anfällig.
  • Das Docker-Container-Image enthält Log4j, doch damit eine Person die Komponente ausführen kann, muss sie über Berechtigungen für den Notebook-Container verfügen, so dass Log4j in dieser Konfiguration kein zusätzliches Risiko darstellt. Patches für die Docker-Container-Images werden aber im Laufe der Zeit trotzdem zur Verfügung gestellt.

ArcGIS Monitor

Dieses Produkt enthält kein Log4j Komponenten und ist deshalb nicht verwundbar.

ArcGIS Online

Esri hat vorläufige Patches für ArcGIS Online Systeme durchgeführt inklusive einiger Updates von Log4j auf die Version 2.17 und evaluiert weiterhin das CVE sowie alle relevanten Fixes von Drittanbietern, sobald diese verfügbar sind. Wir werden die relevanten Patches in Übereinstimmung mit den geltenden Änderungsmanagementprozessen anwenden.

ArcMap

Enthält kein Log4j und ist daher nicht für diese CVEs anfällig. Siehe Abschnitt Desktop-Erweiterungen, wenn Sie optionale, separat zu installierende Erweiterungen verwenden.

ArcGIS Pro

Neuere Versionen von ArcGIS Pro enthalten zwar Log4j, es ist aber nicht bekannt, dass sie ausgenutzt werden können. ArcGIS Pro reagiert nicht auf Remote-Datenverkehr.
ArcGIS Pro enthält standardmäßig Log4j, um zwei Funktionsbereiche zu unterstützen:

ArcGIS Pro GeoAnalytics Desktop Tools:

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von Log4j durch normale Patches aktualisieren, wenn die erforderlichen Schnittstellen zur Unterstützung von Spark in Log4j v2.17.x (oder höher) enthalten sind.

ArcGIS Pro SAS-ArcGIS Bridge

  • Obwohl nicht bekannt ist, dass sie ausgenutzt werden kann, können Benutzer die verwundbare Log4j-core jar-Datei aus Installationen von ArcGIS Pro löschen. Sie ist hier zu finden: /ArcGIS/Pro/bin/Python/envs/arcgispro-py3/Lib/site-packages/saspy/java/iomclient/
  • Das Löschen der Log4j-Core jar-Datei wird die die beiden Geoprocessing Tools SAS to Table und Table to SAS deaktivieren.
  • Wir werden Anfang/Mitte Januar 2022 einen Patch für ArcGIS Pro 2.9.1 herausgeben.

Desktop Extension

ArcGIS Pro Data Interoperability Extension

Dieses Produkt verwendet Komponenten von Safe Software, die Log4j enthalten, und der Hersteller schreibt, dass seine Implementierung nicht anfällig für die Sicherheitslücke CVE-2021-44228 ist.
Safe Software empfiehlt, dass Kunden, die immer noch Bedenken wegen der ungepatchten Log4j-Version haben, die Log4j-Komponenten auf die aktuell gepatchte Log4j-Version 2.17.0 aktualisieren, damit das Risiko einer Schwachstelle beseitigt wird.
Bitte aktualisieren Sie jede der vier Log4j-Dateien an den folgenden Stellen, wie von Safe Software angegeben:
<DataInterOpExtInstall>/ArcGIS/Data Interoperability for ArcGIS Pro/plugins

ArcMap Data Interoperability Extension

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von log4j durch normale Patches aktualisieren, die auf die Data Interoperability Extension abzielen.

Lizenz Manager

Dieses Produkt verwendet Komponenten von Flexera, und der Lizenz Manager enthält nicht die anfälligen Beispieldateien, auf die Flexera in seiner Log4j-Erklärung verweist.
Log4j ist nicht im Lizenz Manager von Esri enthalten und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.

Esri Geoportal Server

Unser Open Source Produkt Geoportal Server ist auf die Version 2.6.5 upgedated worden um die Log4j Schwachstellen zu beseitigen. Bitte führen Sie das Update schnellstmöglich aus.