Aktuelles zum Thema log4j

Die nachfolgenden Informationen stammen, Stand 16.12.2021, aus folgender Quelle:
https://typo3.org/security/advisory/typo3-psa-2021-004
Diese sind dort, in englischer Sprache, abrufbar.

Komponenten von TYPO3 CMS basieren auf PHP und sind daher nicht direkt von den aktuellen log4j-Schwachstellen betroffen. Zusätzliche Dienste, die in Webanwendungsszenarien verwendet werden, können jedoch betroffen sein.

...

TYPO3 CMS und TYPO3-Erweiterungen sind PHP-basierte Softwarepakete und sind daher nicht von der log4j- Schwachstelle betroffen . Dazu gehören gebündelte JavaScript-Komponenten in TYPO3 CMS und TYPO3-Erweiterungen (Java und JavaScript sind separate Programmiersprachen).

Viele TYPO3-Websites verlassen sich auf externe Dienste, die von der Schwachstelle betroffen sein könnten, jedoch nur, wenn diese externen Dienste auf Java basieren. Hier sind einige gängige Szenarien, in denen zusätzliche Dienste verwendet werden:

• TYPO3 - Website enthält eine Webseite suchen, die auf den externen Diensten wie basiert Apache Solr oder Elasticsearch , 
• Die TYPO3-Website verwendet den externen Dienst Apache Tika, um Metadaten hochgeladener Dateien zu extrahieren.
• TYPO3-Logfiles werden vom externen Dienst Logstash verarbeitet,

In all diesen Szenarien sind die externen Dienste Java-basierte Softwarekomponenten, die die log4j- Bibliothek verwenden und höchstwahrscheinlich von der kritischen log4j- Sicherheitslücke betroffen sind . 

Empfehlung

Das TYPO3-Sicherheitsteam empfiehlt TYPO3-Website- und Server-Administratoren zu überprüfen, ob von TYPO3 generierte Daten in irgendeiner Weise von Java-basierten externen Diensten protokolliert oder verarbeitet werden. In diesem Fall ist es wichtig festzustellen, ob die externen Dienste log4j verwenden und ob sie von der Schwachstelle betroffen sind. 

....

Die nachfolgenden Informationen stammen aus den Shopware Security-News, Stand 13.12.2021

Mit dieser Lücke können Angreifer unter Umständen Schadcode auf Deinem System ausführen. Shopware selbst ist als PHP-basiertes System nicht von der Sicherheitslücke betroffen, gleiches gilt für unsere Cloud-Services und alle dort genutzten Technologien.

Es ist allerdings möglich, dass innerhalb Deiner IT-Systemlandschaft Services laufen, die potenziell von dieser Sicherheitslücke betroffen sind. Dies gilt beispielsweise für ElasticSearch. Für die sehr alte ElasticSearch Version 5 hat der Hersteller bisher keine Entwarnung gegeben. Hier empfehlen wir grundsätzlich ein Update auf eine neuere ElasticSearch-Version. Da ElasticSearch 5 nur mit Shopware vor Version 5.6 kompatibel ist, sind Kunden mit Shopware 5.6 oder neuer sowie Shopware 6.0 und neuer von diesem Hinweis nicht betroffen.

Der Hersteller von ElasticSearch meldet weiterhin, dass eine abgeschwächte Variante der Lücke auch in neueren ElasticSearch-Versionen auftreten kann. Solltest Du ElasticSearch einsetzen, empfehlen wir Dir in jedem Fall mit Deinem Hosting-Provider in Kontakt zu treten und abzustimmen, ob ein Update auf die heute erscheinenden Versionen ElasticSearch 6.8.21 oder 7.16.1 für Dich in Frage kommt.
Sollte in der Zwischenzeit bekannt werden, dass weitere häufig mit Shopware zusammen eingesetzte Services von der Lücke betroffen sind, werden wir Dich zeitnah darüber informieren.

Quelle: status.df.eu

Auch hier sind die Systeme nicht direkt betroffen.