Apache Log4j wird in einigen ArcGIS Enterprise Komponenten genutzt. Die entdeckten Schwachstellen in Log4j konnten durch von Esri bereitgestellte Skripte schnell behoben werden. Jetzt liefern wir auch Patches aus.
Letzer Update: 12. April 2022
Kritische Sicherheitslücken in Apache Log4j können eine Erweiterung von Privilegien oder Denial-of-Service ermöglichen. In allen ArcGIS Enterprise Komponenten wird Apache Log4j verwendet.
Esri veröffentlicht separate Updates für ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store, um diese Schwachstellen zu beheben.
Esri hat zunächst Skripte veröffentlicht, um die kritischen Log4j-Schwachstellen CVE-2021-44228 und CVE-2021-45046 schnell zu entschärfen. Siehe auch dieser Blog-Beitrag: ArcGIS Software und die Log4j Schwachstelle
Die unten beschriebenen Software-Patches beheben diese Schwachstellen, sowie weitere in dieser Ankündigung aufgeführte Log4j-Schwachstellen.
ArcGIS Enterprise Patches
- Portal for ArCGIS: 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9 und 10.9.1
- ArcGIS Server: 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9 und 10.9.1
- Wichtiger Hinweis 12. April 2022: Es wurden neue Patches veröffentlicht, um BUG-000148146 bei einigen AWS (Amazon Web Services)-Bereitstellungen zu verhindern. Die B-Patches werden über die ursprünglichen Patches installiert, falls Sie die ursprünglichen Patches bereits installiert haben. Wenn Sie die Original-Patches bereits installiert haben, lesen Sie bitte den technischen Artikel, um sicherzustellen, dass Ihr System nicht auf ein mögliches Problem stößt, bei dem ArcGIS Server-Maschinen nach einem Neustart der Maschine von einer Site entfernt werden. Wenn Sie die Original-Patches nicht installiert haben und nur die “B”-Version anwenden, sollte das Problem nicht auftauchen.
- ArcGIS Data Store: 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9 und 10.9.1
- ArcGIS GeoEvent Server: 10.6, 10.6.1, 10.7.1, 10.8.1, 10.9 und 10.9.1
Eine komplette Übersicht aller verfügbaren Patches finden Sie hier auf unseren Support-Seiten: ArcGIS Enterprise Log4j Patch Summary Page
Details zu den Patches
- Alle Log4j 2.x-Komponenten werden auf die Version 2.17.1 aktualisiert. Dies ist die neueste Version, die zum Zeitpunkt der Veröffentlichung dieser Patches verfügbar ist.
- Aus technischen Gründen werden nach dem Patch modifizierte Versionen einiger älterer Log4j 2.x-Dateien zurückgelassen. Alle Java-Klassen wurden aus diesen Dateien entfernt (sie gelten als “leer”) und enthalten nur noch Metadaten, die auf die neuen Dateien der Version 2.17.1 verweisen. Die älteren Dateien, die zurückbleiben, können nicht gelöscht werden, ohne die Anwendungsfunktionalität zu beeinträchtigen.
- Diese leeren Dateien werden bei der Installation der nächsten ArcGIS Enterprise Produktversion (Version 11, Veröffentlichung voraussichtlich Juni 2022) vollständig entfernt.
- Sicherheitsscanner, die so konfiguriert sind, dass sie verwundbare Komponenten nur anhand der Versionsnummern der Dateien erkennen, können nach der Anwendung dieser Patches falsch positive Ergebnisse liefern.
- Alle Log4j 1.2.x-Komponenten wurden von anfälligen Klassen befreit.
- Abgeschwächte Log4j 1.2.x-Komponenten sind aufgrund von Abhängigkeiten von größeren Frameworks in diesem Patch enthalten.
- Esri wird die Log4j 1.2.x-Komponenten als Teil der nächsten Produktversion (ArcGIS Enterprise 11; Mitte 2022) entfernen.
Das Original dieses Blog Beitrags wurde von Michael Young, Esri Inc veröffentlicht: ArcGIS Enterprise Log4j Security Patches Available