UCS 5.0 und UCS 4 sind im Kern nicht von der aktuellen Sicherheitslücke log4j/log4shell betroffen.
UCS 5.0-0 liefert zwar apache-log4j2 als Debian-Paket aus, dieses ist aber standardmäßig nicht in Verwendung. Updates für dieses Paket haben wir bereits am 13.12.2021 für unsere Kunden verfügbar gemacht, da sie nicht im regulären Errata-Tracking enthalten sind. Weitere Informationen zum Update finden Sie im Help-Forum unter: https://help.univention.com/t/status-of-log4j-log4shell-vulnerability-cve-2021-44228-in-ucs-and-apps/19020.
Das UCS-4-Paket apache-log4j1.2 ist mit einer damit zusammenhängenden Sicherheitslücke betroffen, die allerdings keine Remotecodeausführung (RCE) ermöglicht, soweit uns derzeit bekannt ist. Auch dieses wird standardmäßig nicht in UCS verwendet. Hier warten wir auf ein Upstream-Upate.
Anwendungen in UCS
Es gibt einige Java-basierte Anwendungen, die auf UCS installiert werden können, welche potenziell betroffen sein könnten. Dazu zählen unter anderem: Zammad, Seafile, Jitsi, Bluespice, Jenkins. Für diese liegen bereits Sicherheitsempfehlungen vor.
Die Software Swagger UI, welche innerhalb der Kelvin REST API genutzt werden kann, verwendet zwar log4j, aber in einem sehr eingeschränktem Kontext. Sie bekommt keine beliebigen frei wählbaren Inhalte übergeben und die Kontrolle obliegt nur Nutzern mit administrativen Rechten. Unserer Einschätzung nach besteht hier zurzeit keine Gefahr, dass dies per RCE ausgenutzt werden kann.
Bitte beachten Sie auch, dass UCS Konnektoren zu verschiedenen Lösungen von Drittanbietern anbietet, die angreifbar sein können. Auch wenn dies UCS nicht direkt angreifbar macht, kann es doch Möglichkeiten für Post-Exploitation-Techniken und laterale Bewegungen eröffnen.
Wir arbeiten kontinuierlich daran, alle Anwendungen auf Sicherheitslücken zu analysieren und halten Sie in unserem Forum zu log4j/log4shell auf dem Laufenden.