ArcGIS Software und CVE-2021-44228 (aka Log4Shell)

Esri ist sich der Auswirkungen von CVE-2021-44228 auf die ArcGIS Software und -Dienste bewusst und untersucht diese aktiv und mit hoher Priorität. Die Situation entwickelt sich und weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.


Bitte folgen Sie für die neuesten Informationen dem Esri Blog
ArcGIS Software and CVE-2021-44228. Die folgenden Informationen wurden diesem entnommen (letztes Update am 31. Dezember 2021) .


ArcGIS Enterprise

Mehrere ArcGIS Enterprise-Komponenten enthalten die verwundbare log4j-Bibliothek, jedoch ist derzeit kein Exploit für irgendeine Version einer ArcGIS Enterprise-Basisimplementierung (einschließlich der Komponenten ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store) oder für einen eigenständigen ArcGIS Server bekannt.

Esri hat die potenziellen Auswirkungen von CVE-2021-45105, einem Denial-of-Service-Angriff mit unendlicher Rekursion gegen Log4j, in Portal for ArcGIS, ArcGIS Server und ArcGIS Data Store evaluiert und festgestellt, dass diese Softwarekomponenten nicht die Muster verwenden, die Angreifer benötigen, um diese Schwachstelle tatsächlich auszunutzen.

Esri hat Log4Shell-Skripte zur Risikominimierung erstellt, deren Anwendung auf alle Installationen und Versionen, auch für die Versionen 10.8 und neuer, von ArcGIS Enterprise und ArcGIS Server dringend empfohlen wird. Die Skripte entfernen die JndiLookup-Klasse, was die einzige von Apache Log4j empfohlene Entschärfungsmaßnahme ist, die keine Aktualisierung der Log4j-Version erfordert. Diese Maßnahme behebt CVE-2021-44228 und CVE-2021-45046 vollständig. Die Skripte wurden für die Versionen 10.6 und höher validiert, sie sollten jedoch auch mit älteren Versionen von ArcGIS Enterprise und ArcGIS Server funktionieren.
Separate detaillierte Anleitungen und Skripte sind verfügbar für:

Hinweise:

  • Nach der Anwendung der Skripte werden auf diesen Systemen immer noch anfällige Log4j-Versionsnummern angezeigt, der anfällige Code ist jedoch entfernt worden.
  • [Update] Die ArcGIS Enterprise-Basiskomponenten verwenden keinen JMSAppender mit Log4j 1.2 und sind daher nicht anfällig für
    • Log4j 1.2 JMSAppender – CVE-2021-4104
    • Log4j 2.x JDBCAppender – CVE-2021-44832
  • Der ArcGIS Web Adaptor nutzt nicht den Log4j-Kern und ist daher nicht verwundbar.
  • Zusätzlich zu diesen Skripten werden im Laufe der Zeit Patches für unterstützte Versionen der betroffenen Softwarekomponenten zur Verfügung gestellt.
  • Allen Kunden wird dringend empfohlen, die mitgelieferten Skripte zu verwenden, anstatt auf die Verfügbarkeit weiterer Patches zu warten.

ArcGIS Notebook Server

Der Notebook Server besteht aus zwei Komponenten, einem Basis Framework und einem Docker-Container-Image

  • Das Framework enthält kein Log4j, mit Ausnahme der Version 10.7.x. Diese Version enthält allerdings nicht die anfällige JMSAppender-Klasse und ist daher auch nicht für die CVEs die weiter oben aufgelistet sind, anfällig.
  • Das Docker-Container-Image enthält Log4j, doch damit eine Person die Komponente ausführen kann, muss sie über Berechtigungen für den Notebook-Container verfügen, so dass Log4j in dieser Konfiguration kein zusätzliches Risiko darstellt. Patches für die Docker-Container-Images werden aber im Laufe der Zeit trotzdem zur Verfügung gestellt.

ArcGIS Monitor

Dieses Produkt enthält kein Log4j Komponenten und ist deshalb nicht verwundbar.

ArcGIS Online

Esri hat vorläufige Patches für ArcGIS Online Systeme durchgeführt inklusive einiger Updates von Log4j auf die Version 2.17 und evaluiert weiterhin das CVE sowie alle relevanten Fixes von Drittanbietern, sobald diese verfügbar sind. Wir werden die relevanten Patches in Übereinstimmung mit den geltenden Änderungsmanagementprozessen anwenden.

ArcMap

Enthält kein Log4j und ist daher nicht für diese CVEs anfällig. Siehe Abschnitt Desktop-Erweiterungen, wenn Sie optionale, separat zu installierende Erweiterungen verwenden.

ArcGIS Pro

Neuere Versionen von ArcGIS Pro enthalten zwar Log4j, es ist aber nicht bekannt, dass sie ausgenutzt werden können. ArcGIS Pro reagiert nicht auf Remote-Datenverkehr.
ArcGIS Pro enthält standardmäßig Log4j, um zwei Funktionsbereiche zu unterstützen:

ArcGIS Pro GeoAnalytics Desktop Tools:

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von Log4j durch normale Patches aktualisieren, wenn die erforderlichen Schnittstellen zur Unterstützung von Spark in Log4j v2.17.x (oder höher) enthalten sind.

ArcGIS Pro SAS-ArcGIS Bridge

  • Obwohl nicht bekannt ist, dass sie ausgenutzt werden kann, können Benutzer die verwundbare Log4j-core jar-Datei aus Installationen von ArcGIS Pro löschen. Sie ist hier zu finden: /ArcGIS/Pro/bin/Python/envs/arcgispro-py3/Lib/site-packages/saspy/java/iomclient/
  • Das Löschen der Log4j-Core jar-Datei wird die die beiden Geoprocessing Tools SAS to Table und Table to SAS deaktivieren.
  • Wir werden Anfang/Mitte Januar 2022 einen Patch für ArcGIS Pro 2.9.1 herausgeben.

Desktop Extension

ArcGIS Pro Data Interoperability Extension

Dieses Produkt verwendet Komponenten von Safe Software, die Log4j enthalten, und der Hersteller schreibt, dass seine Implementierung nicht anfällig für die Sicherheitslücke CVE-2021-44228 ist.
Safe Software empfiehlt, dass Kunden, die immer noch Bedenken wegen der ungepatchten Log4j-Version haben, die Log4j-Komponenten auf die aktuell gepatchte Log4j-Version 2.17.0 aktualisieren, damit das Risiko einer Schwachstelle beseitigt wird. Bitte aktualisieren Sie jede der vier Log4j-Dateien an den folgenden Stellen, wie von Safe Software angegeben: <DataInterOpExtInstall>/ArcGIS/Data Interoperability for ArcGIS Pro/plugins

ArcMap Data Interoperability Extension

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von log4j durch normale Patches aktualisieren, die auf die Data Interoperability Extension abzielen.

Lizenz Manager

Dieses Produkt verwendet Komponenten von Flexera, und der Lizenz Manager enthält nicht die anfälligen Beispieldateien, auf die Flexera in seiner Log4j-Erklärung verweist. Log4j ist nicht im Lizenz Manager von Esri enthalten und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.

Esri Geoportal Server

Unser Open Source Produkt Geoportal Server ist auf die Version 2.6.5 upgedated worden um die Log4j Schwachstellen zu beseitigen. Bitte führen Sie das Update schnellstmöglich aus.


Bei Fragen steht Ihnen unser Support unter esri-support(at)mysynergis.com gerne zur Verfügung. Dieser Beitrag ist in Kooperation mit dem ArcGIS Blog entstanden. Autor: Jörg Moosmeier

XING LinkedIn

Möchten Sie weitere Neuheiten zu unseren Produkten und Veranstaltungen erfahren? Melden Sie sich für unseren Newsletter an und bleiben Sie stets aktuell informiert! Weitere Neuheiten erfahren Sie auch auf unseren LinkedIn und Twitter Accounts.

Weitere News Artikel

SynerGIS Informationssysteme GmbH

Esri Official Distributor
Technologiestraße 10/2E, A-1120 Wien
+43 1 878 06-0 | office@mysynergis.com

Social Media: LinkedIn | X

ArcGIS Software und CVE-2021-44228 (aka Log4Shell)

Esri ist sich der Auswirkungen von CVE-2021-44228 auf die ArcGIS Software und -Dienste bewusst und untersucht diese aktiv und mit hoher Priorität. Die Situation entwickelt sich und weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.


Bitte folgen Sie für die neuesten Informationen dem Esri Blog
ArcGIS Software and CVE-2021-44228. Die folgenden Informationen wurden diesem entnommen (letztes Update am 31. Dezember 2021) .


ArcGIS Enterprise

Mehrere ArcGIS Enterprise-Komponenten enthalten die verwundbare log4j-Bibliothek, jedoch ist derzeit kein Exploit für irgendeine Version einer ArcGIS Enterprise-Basisimplementierung (einschließlich der Komponenten ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store) oder für einen eigenständigen ArcGIS Server bekannt.

Esri hat die potenziellen Auswirkungen von CVE-2021-45105, einem Denial-of-Service-Angriff mit unendlicher Rekursion gegen Log4j, in Portal for ArcGIS, ArcGIS Server und ArcGIS Data Store evaluiert und festgestellt, dass diese Softwarekomponenten nicht die Muster verwenden, die Angreifer benötigen, um diese Schwachstelle tatsächlich auszunutzen.

Esri hat Log4Shell-Skripte zur Risikominimierung erstellt, deren Anwendung auf alle Installationen und Versionen, auch für die Versionen 10.8 und neuer, von ArcGIS Enterprise und ArcGIS Server dringend empfohlen wird. Die Skripte entfernen die JndiLookup-Klasse, was die einzige von Apache Log4j empfohlene Entschärfungsmaßnahme ist, die keine Aktualisierung der Log4j-Version erfordert. Diese Maßnahme behebt CVE-2021-44228 und CVE-2021-45046 vollständig. Die Skripte wurden für die Versionen 10.6 und höher validiert, sie sollten jedoch auch mit älteren Versionen von ArcGIS Enterprise und ArcGIS Server funktionieren.
Separate detaillierte Anleitungen und Skripte sind verfügbar für:

Hinweise:

  • Nach der Anwendung der Skripte werden auf diesen Systemen immer noch anfällige Log4j-Versionsnummern angezeigt, der anfällige Code ist jedoch entfernt worden.
  • [Update] Die ArcGIS Enterprise-Basiskomponenten verwenden keinen JMSAppender mit Log4j 1.2 und sind daher nicht anfällig für
    • Log4j 1.2 JMSAppender – CVE-2021-4104
    • Log4j 2.x JDBCAppender – CVE-2021-44832
  • Der ArcGIS Web Adaptor nutzt nicht den Log4j-Kern und ist daher nicht verwundbar.
  • Zusätzlich zu diesen Skripten werden im Laufe der Zeit Patches für unterstützte Versionen der betroffenen Softwarekomponenten zur Verfügung gestellt.
  • Allen Kunden wird dringend empfohlen, die mitgelieferten Skripte zu verwenden, anstatt auf die Verfügbarkeit weiterer Patches zu warten.

ArcGIS Notebook Server

Der Notebook Server besteht aus zwei Komponenten, einem Basis Framework und einem Docker-Container-Image

  • Das Framework enthält kein Log4j, mit Ausnahme der Version 10.7.x. Diese Version enthält allerdings nicht die anfällige JMSAppender-Klasse und ist daher auch nicht für die CVEs die weiter oben aufgelistet sind, anfällig.
  • Das Docker-Container-Image enthält Log4j, doch damit eine Person die Komponente ausführen kann, muss sie über Berechtigungen für den Notebook-Container verfügen, so dass Log4j in dieser Konfiguration kein zusätzliches Risiko darstellt. Patches für die Docker-Container-Images werden aber im Laufe der Zeit trotzdem zur Verfügung gestellt.

ArcGIS Monitor

Dieses Produkt enthält kein Log4j Komponenten und ist deshalb nicht verwundbar.

ArcGIS Online

Esri hat vorläufige Patches für ArcGIS Online Systeme durchgeführt inklusive einiger Updates von Log4j auf die Version 2.17 und evaluiert weiterhin das CVE sowie alle relevanten Fixes von Drittanbietern, sobald diese verfügbar sind. Wir werden die relevanten Patches in Übereinstimmung mit den geltenden Änderungsmanagementprozessen anwenden.

ArcMap

Enthält kein Log4j und ist daher nicht für diese CVEs anfällig. Siehe Abschnitt Desktop-Erweiterungen, wenn Sie optionale, separat zu installierende Erweiterungen verwenden.

ArcGIS Pro

Neuere Versionen von ArcGIS Pro enthalten zwar Log4j, es ist aber nicht bekannt, dass sie ausgenutzt werden können. ArcGIS Pro reagiert nicht auf Remote-Datenverkehr.
ArcGIS Pro enthält standardmäßig Log4j, um zwei Funktionsbereiche zu unterstützen:

ArcGIS Pro GeoAnalytics Desktop Tools:

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von Log4j durch normale Patches aktualisieren, wenn die erforderlichen Schnittstellen zur Unterstützung von Spark in Log4j v2.17.x (oder höher) enthalten sind.

ArcGIS Pro SAS-ArcGIS Bridge

  • Obwohl nicht bekannt ist, dass sie ausgenutzt werden kann, können Benutzer die verwundbare Log4j-core jar-Datei aus Installationen von ArcGIS Pro löschen. Sie ist hier zu finden: /ArcGIS/Pro/bin/Python/envs/arcgispro-py3/Lib/site-packages/saspy/java/iomclient/
  • Das Löschen der Log4j-Core jar-Datei wird die die beiden Geoprocessing Tools SAS to Table und Table to SAS deaktivieren.
  • Wir werden Anfang/Mitte Januar 2022 einen Patch für ArcGIS Pro 2.9.1 herausgeben.

Desktop Extension

ArcGIS Pro Data Interoperability Extension

Dieses Produkt verwendet Komponenten von Safe Software, die Log4j enthalten, und der Hersteller schreibt, dass seine Implementierung nicht anfällig für die Sicherheitslücke CVE-2021-44228 ist.
Safe Software empfiehlt, dass Kunden, die immer noch Bedenken wegen der ungepatchten Log4j-Version haben, die Log4j-Komponenten auf die aktuell gepatchte Log4j-Version 2.17.0 aktualisieren, damit das Risiko einer Schwachstelle beseitigt wird. Bitte aktualisieren Sie jede der vier Log4j-Dateien an den folgenden Stellen, wie von Safe Software angegeben: <DataInterOpExtInstall>/ArcGIS/Data Interoperability for ArcGIS Pro/plugins

ArcMap Data Interoperability Extension

  • Die zugrunde liegende Log4j-Komponente enthält nicht die anfällige JMSAppender-Klasse und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.
  • Esri wird die Version von log4j durch normale Patches aktualisieren, die auf die Data Interoperability Extension abzielen.

Lizenz Manager

Dieses Produkt verwendet Komponenten von Flexera, und der Lizenz Manager enthält nicht die anfälligen Beispieldateien, auf die Flexera in seiner Log4j-Erklärung verweist. Log4j ist nicht im Lizenz Manager von Esri enthalten und ist daher nicht für die CVEs, die weiter oben aufgelistet sind, anfällig.

Esri Geoportal Server

Unser Open Source Produkt Geoportal Server ist auf die Version 2.6.5 upgedated worden um die Log4j Schwachstellen zu beseitigen. Bitte führen Sie das Update schnellstmöglich aus.


Bei Fragen steht Ihnen unser Support unter esri-support(at)mysynergis.com gerne zur Verfügung. Dieser Beitrag ist in Kooperation mit dem ArcGIS Blog entstanden. Autor: Jörg Moosmeier

XING LinkedIn