Sicherheitslücke durch LOG4j

Hallo zusammen,

bei mir treffen gerade zahlreiche Emails ein, da der Datenschutzbeauftragte vom Staatlichen Schulamt (zu recht) geraten hat, sich an den Schulträger oder IT-Dienstleister zu wenden.
Dieses Thema soll zum Austausch über die genannte Sicherheitslücke bei den an Schulen eingesetzten Lösungen dienen.

So ist die Sicherheitslücke im Ubiquiti UniFi WLAN Controller vorhanden, welche jedoch mit der neusten Version 6.5.54 inzwischen geschlossen wurde:
https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1

Über die paedML (Linux) konnte ich jetzt bisher noch keine Informationen finden.
Sind euch weitere Lösungen im schulischen Kontext bekannt?

Update:
Also der Univention UCS Teil der paedML ist nicht betroffen, jedoch können Apps die Schwachstelle aufweisen:

2 „Gefällt mir“

Lieber Julian, liebes Forum,

im LMZ-Portal wurde heute folgender Beitrag veröffentlicht:

Darin heißt es (leicht modifiziert)

Liebe Kundinnen und Kunden,

seit Freitag, dem 10.12.2021, ist eine kritische java-Sicherheitslücke „log4j-Lücke" bekannt, die laut BSI zu einer „extrem kritischen Bedrohungslage“ führt.

Stand heute sind die aktuellen paedML-Versionen Linux 7.x und Windows 4.x in der Standard-Installation nicht von dieser Sicherheitslücke betroffen. Detaillierte Informationen zu jeder paedML und Empfehlungen für die paedML Novell finden Sie auf unserem Portal unter Log4Shell–Sicherheitslücke in der paedML - Landesmedienzentrum Baden-Württemberg .

Sofern Sie keine eigene Software in den Systemen der paedML installiert haben, gehen wir davon aus, dass beim Betrieb Ihrer paedML kein akuter Handlungsbedarf besteht.

Da die Sicherheitslücke auch auf dem VMware VCenter auftreten kann (nicht ESXi), bitten wir Sie darum mit Ihrem Dienstleister Kontakt aufzunehmen, um zu klären, ob weitere Maßnahmen notwendig sind.

Generell möchten wir Sie darauf hinweisen, dass neue paedML Versionen und alle Aktualisierungen immer zeitnah eingespielt werden sollten, damit Sicherheitslücken geschlossen werden und Sie neue Funktionen Ihrer paedML nutzen können.

Wir befinden uns in einem ständigen Austausch mit den Herstellern der paedML-Komponenten. Wenn sich weiterer Handlungsbedarf ergeben sollte, werden wir Sie zeitnah informieren.

Bleiben Sie gesund und kommen Sie gut ins neue Jahr.

Ihr Team der paedML

Auf der verlinkten Seite finden sich detaillierte Informationen zu den jeweiligen paedML-Versionen.

Wenn Ihr weitere Fragen habt, dann können wir uns gerne hier austauschen.

Gruß
Roland Walter

1 „Gefällt mir“

Hallo zusammen,
unser Schulträger hat aufgrund der Lücke den Zugang zu GroupWise gesperrt, so dass man nur noch aus dem Schulnetzwerk darauf zugreifen kann. Wenn wir über Groupwise eine Mailweiterleitung an eine private Mailadresse einrichten, um dennoch dienstliche Mails in den Ferien von zu Hause aus empfangen zu können, besteht dann in irgendeiner Form ein Sicherheitsrisiko, für die privaten Mailaccounts?

Hinweis: Die Weiterleitung soll nur zum Empfangen dienstlicher Informationen dienen, das Versenden/Beantworten von Nachrichten würde dann natürlich die private Mailadresse an die Empfänger preisgeben.

Bin leider kein Fachmann, daher freue ich mich über Rat.

Hallo Herr Wenzel,

da die Sicherheitslücke den Server betrifft, sollten weitergeleitete Mails eigentlich keine Probleme darstellen. Sofern der Mailserver noch Mails weiter leiten kann, können Sie wie beschrieben arbeiten.

Gruß
Roland Walter

Zum Unifi Controller: Die Lücke ist leider noch immer nicht geschlossen, da auch noch in der aktuellsten Version nicht die 2.17.1 von Log4J verwendet wird. Man kann aber die entsprechenden Pakete mit der Version 2.17.1 austauschen, indem man sie umbenennt.
Ausgetauscht werden müssen die „Api“ und „Core“ JAR-Dateien. Zu finden sind beide Dateien im Installationsverzeichnis unter „Lib“. Natürlich sollte man den Unifi-Controller-Dienst zuvor herunterfahren und danach wieder neu starten.

1 „Gefällt mir“