Erhöhtes Sicherheitsrisiko: Log4j-Problematik im ECM-Umfeld

Aktuell sorgt die am 10. Dezember festgestellte Sicherheitslücke CVE-2021-44228 in der weit verbreiteten Open Source Java-Bibliothek (Log4j2) für große Sorgen in vielen Unternehmen. Log4j2 wird genutzt, um zu protokollieren, was innerhalb einer Java-Anwendung passiert. Teilweise sind auch Anbieter von Lösungen für Enterprise Content Management (ECM) davon betroffen. So hat beispielsweise der Spezialist für Dokumenten- und Output-Management Compart unmittelbar nach Bekanntwerden der Sicherheitslücke damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten.

Compart liefert konkrete Hilfsmaßnahmen

Ergebnis ist nun, dass aus dem großen Produktportfolio die Lösung zur Dokumenterstellung für Print, Web und Mobile »DocBridge Impress Designer« bis einschließlich Version 2.0.1 betroffen ist. Daher empfiehlt der Hersteller Nutzerinnen und Nutzern von älteren Versionen ein zeitnahes Upgrade auf die neueste Version des Programms. Aktuell steht die »Impress Designer Plugin Version 4.0.1« zur Verfügung. Neuere Versionen ab 2.0.1 werden als Plugin für »DocBridge Central« ausgeliefert und sind nicht von der Sicherheitslücke in Log4j2 betroffen.

Kurzfristig und bis zur Installation des Upgrades empfiehlt Compart seinen Kunden die hier genannten Gegenmaßnahmen zu implementieren. Hinsichtlich der Auswahl der geeigneten Gegenmaßnahme ist zu beachten, dass Version 2.0.1 des Docbridge Impress Designers Log4j v2.13.3 verwendet. Noch ältere Versionen verwenden Log4j v.2.8.2.

Easy Software und Docuware reagierten ebenfalls

Auch ECM-Hersteller Easy Software meldet in zwei Fällen von der Log4j-Sicherheitslücke betroffen zu sein. Dabei handelt es sich um »EASY DMS (Documents)« und »EASY ApiOmat«-Produkte, mit denen sich Apps und Services kreieren lassen. Hilfestellungen und Lösungen sollen in einem passwortgeschützten Bereich zur Verfügung stehen.

ECM-Anbieter DocuWare hat nach eigenen Angaben bestandene Risiken bereits beseitigt. Geschäftsführer Dr. Michael Berger, verantwortlich für Produkte, Dienstleistungen und Finanzen, berichtet: »Der größte Teil der Docuware-Produkte verwendet überhaupt kein Java und nur wenige Produktteile setzen die besagte Bibliothek ein.« Da das Unternehmen am Wochenende blitzschnell reagiert habe, sei der Einsatz von Docuware in der Cloud nicht mehr von dieser Sicherheitslücke betroffen. »DocuWare Cloud wurde analysiert sowie neu konfiguriert und die Cloud-basierte Lösung ist seit dem 12.12.2021, 08:40 CEST, sicher vor Angriffen von CVE-2021-4428. Am 13.12.2021 wurde die gesamte potenziell betroffene Infrastruktur in einen garantiert sauberen Zustand versetzt. Kunden müssen keinerlei Bedenken haben. On-Premises-Versionen waren nicht betroffen«, erklärt Berger.

Amagno nicht betroffen

Der deutsche Hersteller von Cloud-ECM-Lösungen amagno gibt an, auf Produktseite nicht von der Sicherheitslücke betroffen zu sein und hat seine Kunden bereits dementsprechend informiert. Dass Log4j nicht in den Amagno-Produkten vorkommt, begründet Jens Büscher, Gründer und CEO von Amagno, folgendermaßen: »Die Log4j Komponente ist kein professionelles abgesichertes Projekt, daher verzichten wir aus Sicherheitsgründen bestmöglich auf solche Komponenten. Es passt zudem auch nicht zu unserem Technologie-Stack.«

Die Cloud-Lösung von Amagno läuft auf der Cloud-Plattform »Microsoft Azure«, auf die Amagno 2020 umgezogen ist. Hier sorgen laut Büscher spezialisierte Experten mit hohen Aufwänden für eine schnellstmögliche Sicherheit bei Bedrohungslagen. Allerdings ist Amagno auch als On-Premises-Lösung bei hunderten Kunden inhouse im Einsatz, was indirekt Probleme verursachen kann, wie Büscher beschreibt: »Unsere Software ist von Log4j direkt nicht betroffen, aber zahlreiche Systeme der IT-Infrastruktur des Kunden können bedroht sein.« Daher sei eine klare Empfehlung, die gesamte IT-Infrastruktur auf die Log4j-Schwachstelle zu prüfen und Abhilfe zu schaffen.

Entwarnung, was seine Produkte betrifft, gab zunächst auch ECM-Hersteller Optimal Systems. Per E-Mail ließ dieser seine Kunden wissen, dass alle seine Produkte »enaio«, »yuuvis RAD« und »yuuvis Momentum« sowie deren Komponenten nicht von der aktuellen Sicherheitslücke betroffen sind. Jedoch kam einen Tag nach der ersten Meldung am 15.12. der Hinweis, dass es bei 3rd-Party-Elasticsearch-Plugins der Firma Intrafind zu Problemen kommen kann. Was Verantwortliche deshalb unternehmen können, hat Optimal Systems auf einer Webseite beschrieben.