Aktuelles
In der vergangenen Woche wurde eine Sicherheitslücke („CVE-2021-44228“) in der weit verbreiteten Java-Protokollierungsbibliothek Log4j bekannt. Das BSI hat eine entsprechende Warnung herausgegeben. Über die Sicherheitslücke kann das Ausführen von aus dem Internet heruntergeladenen Programmteilen auf dem jeweiligen Server („remote code execution“) möglich sein.
Nach Bekanntwerden der Schwachstelle haben wir umgehend unsere Systeme geprüft – mit folgenden Ergebnissen:
Unsere Archivierungssoftware CompuArchiv ist in keinster Weise betroffen, da CompuArchiv kein JAVA verwendet.
Achtung: Die folgenden Informationen gelten ausschließlich für die CompuDMS Versionen 7.2, 7.3, 8.0 und 8.1. Sofern Sie noch eine ältere Version einsetzen, empfehlen wir dringend, Ihr CompuDMS System zu aktualisieren!
Die Volltextsuchfunktion von CompuDMS basiert auf der Drittsoftware „ElasticSearch“. Diese wiederum verwendet JAVA und auch die betroffene JAVA-Bibliothek „Log4J“. Allerdings geben die Entwickler von ElasticSearch an (https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476), dass sie – bedingt durch den Einsatz des „Java Security Managers“ – gegen die Ausführung von Fremdcode (remote code execution) geschützt sind.
Bei Nutzung von JAVA (JDK) Version 8 könne es jedoch zu einer ungewollten Preisgabe von Systemeigenschaften kommen. Dies umfasst aber nicht die in CompuDMS gespeicherten Dokumenteninhalte. Die Versionen 7.2, 7.3, 8.0 und 8.1 von CompuDMS enthalten bereits die JAVA (JDK) Version 11.
Das Ausnutzen dieser Schwachstelle wird dadurch erschwert, dass der Zugriff auf die ElasticSearch Volltextsuche in der Standard-Installation nur von dem Server aus möglich ist, auf dem CompuDMS installiert wurde (localhost) sowie indirekt über den CompuDMS Client. Beides erfordert ja zuvor eine Benutzeranmeldung.
Um die eventuelle ungewollte Informationspreisgabe zu unterbinden und aus Gründen der allgemeinen Vorsicht empfehlen die Entwickler von ElasticSearch und auch wir das Aktivieren einer spezifischen JAVA-Konfigurationsoption.
Dies können Sie unmittelbar selbst gemäß der zum Download unter https://www.compukoeln.de/download/docs/CompuDMS-Professional_Anpassung-JAVA-Parameter.pdf bereitgestellten Anleitung durchführen. Alternativ werden wir in der nächsten Woche eine aktualisierte Version CompuDMS 8.1.2 veröffentlichen, welche diese Option standardmäßig bei Installation und Aktualisierung setzt.
Für unsere Cloudlösung wurde die Anpassung bereits umgesetzt und unsere Kunden auch darüber informiert. Unsere CompuDMS Professional-Kunden wurden über das Update in der nächsten Woche bzw. die Möglichkeit der Anpassung ebenfalls informiert.
Für Fragen stehen wir Ihnen gerne zur Verfügung. Bitte wenden Sie sich an unsere Hotline unter hotline@compukoeln.de.
Dokument Management GmbH
Stollwerckstr. 5
51149 Köln
