ILIAS-Blog

Neuigkeiten und Hintergründe zu ILIAS - dem Open Source LMS

log4j – Entwarnung für ILIAS [Update]

Kunkel, Matthias [mkunkel], Kruse, Fabian [Fabian] - 13. Dec 2021, 18:20

Hinweis: dieser Blogartikel wird entsprechend der Lage weiter aktualisiert. Letztes Update: 22.12.2021. Wir informieren alle interessierten Anwender auch über die bekannten Mailinglisten ilias-admins@lists.ilias.de und developer@lists.ilias.de.

ILIAS ist vom aktuell gemeldeten Sicherheitsproblem (CVE-2021-44228) für die auch von ILIAS genutzte Bibliothek log4j nicht betroffen. Gründe sind:
  1. Bis zum Bekanntwerden der Sicherheitslücke haben wir in ILIAS die ältere Version 1.2.15 der log4j-Bibliothek genutzt. Bei dieser Version war ein System nur dann angreifbar, wenn eine spezielle Konfiguration aktiviert wurde. Für ILIAS wurde diese Konfiguration nicht aktiviert. Siehe hierzu auch dieser Kommentar auf GitHub.
  2. Seit heute verwenden wir in ILIAS die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Version 2.17.0 (siehe hier). Der zuständige Entwickler hat die Datei ilServer.jar mit der aktuellsten Version der log4j-Bibliothek für alle maitainten ILIAS-Versionen aktualisiert.
Um von der neuesten Version der ilServer.jar zu profitieren, ist es nicht zwingend nötig, die gesamte ILIAS-Software zu aktualisieren. Es genügt auch, die Datei ilServer.jar durch die neueste Version zu ersetzen. Die passende Datei kann direkt aus GitHub heruntergeladen werden:

Diese Entwarnung gilt aber nur für ILIAS selbst, nicht für mögliche Drittsoftware, die z. B. über Plugins aus ILIAS heraus genutzt werden. Daher rufen wir alle ILIAS-Anwender auf, ihre IT-Infrastruktur dahingehend zu überprüfen, ob weitere Software im Einsatz ist, die log4j verwendet. Auch sollte sichergestellt werden, dass Binaries (JAR-Dateien) und Konfigurationsdateien des ilServer unverändert sind und den vom ILIAS-Verein über GitHub angebotenen Versionen dieser Dateien entsprechen.

In diesem Zusammenhang möchten wir nochmal darauf hinweisen, dass Betreiber:innen von ILIAS ihre Installationen immer auf dem aktuellen Stand halten sollten, um von allen Sicherheits-Bugfixes umgehend zu profitieren.


Comments

  • De

    Deleted Account

    Im Januar sind nochmal eine paar neue CVEs zu log4j 1.2.x erschienen
    Gibt es dazu schon eine Einschätzung, was ältere ILIAS Versionen betrifft?

    z.b. https://nvd.nist.gov/vuln/detail/CVE-2022-23307

    Viele Grüße
    Jürgen
    Created on8. Feb 2022
    Last edited on8. Feb 2022
  • RS

    Schenk, Ralf [rschenk]

    Aktuell raten wir von ILIAS-Aktualisierungen bzw. des ilservers wg. log4j definitiv ab !

    ILIAS war nie von der log4j Problematik betroffen, da die alten Bibliotheksversionen die entsprechenden Funktionen nicht mitliefern.

    Wir aktualisieren den enthaltenen ilserver aktuell nicht auf die mit log4j >= 2.16 ausgestatten ilserver Komponente ab, da die ältere Komponente gar keine JNDI Funktionen unterstützt und momentan schon die 3. Aktualisierung (2.17) der log4j vorliegt und offensichtlich weiterhin nicht alle Fälle der ungewünschten Nutzung abfängt.

    Eine Aktualisierung ist also mit höherem Risiko zu bewerten.
    Created on20. Dec 2021
  • User Avatar of mkunkel

    Kunkel, Matthias [mkunkel]

    Die überarbeiteten Releases für Version 6 und 7 können direkt aus GitHub bezogen werden. Morgen (15.12.) packen wir dann neue Release-Pakete (für die, gern auspacken).
    Created on14. Dec 2021
  • De

    Deleted Account

    gibt es bereits eine Update-Datei, welche eingespielt werden kann? Danke und LG :)
    Created on14. Dec 2021
  • De

    Deleted Account

    TipTop, und Danke für Info
    Ralf-Peter
    Created on13. Dec 2021