GFI Kerio Connect - log4j (CVE-2021-44228)

GFI Kerio Connect - Sicherheitslücke in log4j (CVE-2021-44228)

Eine neue Zero-Day Sicherheitslücke, die offiziell als CVE-2021-44228 bekannt ist, wurde am Freitag, den 10. Dezember 2021, in der NIST National Vulnerability Database veröffentlicht. Sie befindet sich in der Log4j-Java-Bibliothek.

Log4j ist eine beliebte Open-Source-Logging-Bibliothek der Apache Software Foundation. Die in Log4j gefundene Sicherheitslücke ermöglicht es Hackern, Remote-Befehle auf einem Zielsystem auszuführen. Der Schweregrad der Schwachstelle wird von NIST als „Kritisch“ eingestuft.

Wie sind GFI-Produkte betroffen? Eine Funktion von Kerio Connect verwendet Log4j, und eine empfohlene temporäre Absicherung ist unten aufgeführt. Log4j wird in Kerio Connect als Teil der Chatfunktion verwendet.

Wir empfehlen allen Kerio Connect-Benutzern, die Chat-Funktion in der Software vorübergehend zu deaktivieren.

So deaktivieren Sie den Chat in Kerio Connect:

1. Gehen Sie zu Konfiguration.
2. Klicken Sie auf Domänen.
3. Doppelklicken Sie auf die gewünschte Domäne.
4. Suchen Sie den Abschnitt „Chat“ auf der Registerkarte „Allgemein“.
5. Deaktivieren Sie „Chat im Kerio Connect Client aktivieren“. Möglichkeit.
6. Wiederholen Sie die obigen Schritte für alle Ihre E-Mail-Domänen.

Kerio Connect-Sicherheits-Hotfix
Die Arbeit an einem Sicherheits-Hotfix für Kerio Connect hat bereits begonnen. GFI beabsichtigt, in den nächsten Tagen eine Patch zu veröffentlichen.

Update(2021-12-21): GFI patcht Kerio Connect 9.3.1 Patch2 auf Apache log4j Version 2.16. Leider bestätigt Apache die Angreifbarkeit bis Version 2.16.0(Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups.). Heißt, der GFI Kerio Connect 9.3.1 Patch2 schließt die Sicherheitslücke CVE-2021-44228 nicht.