Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Sicherheitslücke in der Java-Bibliothek Log4j (CVE-2021-44228). Log4j ist eine weltweit verbreitete Protokollierungsbibliothek, die in vielen Java-Anwendungen eingesetzt wird.

1. Einordnung der THS-Software-Module

Die THS-Software-Module E-PIX®, gPAS®, gICS®, Dispatcher, TTP-FHIR-Gateway sowie die Systeme der fTTP werden von uns im Wildfly-Anwendungsserver ausgeliefert und betrieben. Wildfly unterstützt die Log4J API, verwendet aber eine eigene Implementierung und nicht die kritische Log4J-Core Implementierung. Software, welche die Log4J API anspricht, ist daher bei Ausführung im Wildfly nicht betroffen. Die THS-Software-Module verfahren exakt so und sind somit von der kritischen Sicherheitslücke nicht betroffen.

2. Bereitgestellte Software-Module für Partner

Die von uns für die Community aktuell bereitgestellten Software-Releases im Docker-Compose-Format (gPAS 1.10.3, gICS 2.13.3, E-PIX 2.12.0, TTP-FHIR-Gateway 2.0.1, Community-Dispatcher 1.15.3) setzen auf Debian 11 und Wildfly 24.x auf.

Sofern die von uns bereitgestellten Werkzeuge in den aktuellen Versionen gemäß unseren Empfehlungen mittels Wildfly betrieben werden, besteht nach aktuellem Kenntnisstand für die von uns zur Verfügung gestellten Releases aktuell kein Handlungsbedarf durch CVE-2021-44228.

3. THS-Projekte mit Hosting in Greifswald

Für die einzelnen Projekte (Mandanten) der Treuhandstelle Greifswald betreiben wir die THS-Software-Module grundsätzlich in Wildfly-Anwendungsservern. Daher –siehe (1)– stellt die entdeckte Sicherheitslücke für die Systeme unserer Mandanten keine akute Bedrohung dar.

Wir können bestätigen, dass auch unsere Infrastrukturen von externen Netzwerken auf die Log4j-Sicherheitslücke gescannt werden.

Zusätzlich zu (1) sind unsere Infrastrukturen in einem dreistufigen Zonen-Konzept implementiert und bieten damit zusätzliche passive Sicherheitsmechanismen. Die Filterung auf erlaubte IP-Adressen an der äußeren Schnittstelle sowie die Pflicht zur Verwendung von Client-Zertifikaten schränken den Kreis der Systeme, die „durchdringen“ können und zudem selbst kompromittiert sein müssten, erheblich ein.

Wir haben unsere Infrastrukturen aktuell geprüft, aktualisieren sie regulär und überwachen sie fortlaufend. Zudem werden beispielsweise die Systeme in den äußeren Schutzzonen automatisiert auf ungewollte Konfigurationsänderungen hin überwacht. Bislang haben wir keine Kompromittierungen identifiziert. Wir setzen nach aktuellem Kenntnisstand keine der betroffenen Software-Lösungen auf von außen erreichbaren Systemen ein.

Neue Erkenntnisse und Hinweise werden sobald verfügbar auf unserer Website  unter ths-greifswald.de/log4j bekannt gemacht.

Update 15.12.2021 13:00: Konkretisierung und Quellenverweis, warum Software bei Nutzung der API im Wildfly nicht betroffen ist.