Adobe Experience Manager (AEM) und Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)

Am 9. Dezember wurde die Sicherheitslücke CVE-2021-4428: Analysis and Mitigations in der Apache log4J Bibliothek auf der Website von Palo Alto Networks veröffentlicht. Da diese Bibliothek in den meisten Java Server Anwendungen eingesetzt wird, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Sicherheitslücke auf dem höchstmöglichen Wert der CVSS-Skala 10 eingestuft und die höchste Warnstufe Rot ausgerufen. Diese Warnungen haben auch meine Kollegen und Kolleginnen am Wochenende aufgeschreckt und zu Recherchen veranlasst. In diesem Blogartikel will ich die bisherigen Ergebnisse zusammenfassen und erklären, inwieweit Adobe Experience Manager (AEM) und darauf basierende Anwendungen betroffen sind und was eventuelle erste Schritte zur Verringerung des Risikos sein könnten.

Gleich zu Beginn, die gute Nachricht: Chris Parkerson vom Adobe Security Team schreibt im Forum der Adobe Experience League, dass alle AEM Versionen nicht von der Sicherheitslücke betroffen sind. Nach eigenen Recherchen trifft das aber anscheinend nur auf die OSGi Versionen zu. AEM Forms JEE scheint zumindest in den Versionen 6.4.x und auch in der aktuellen Version 6.5.11 die betroffenen Bibliotheken zu verwenden.

Auch der dem AEM Dispatcher zugrundeliegende Apache ist nicht von der Sicherheitslücke betroffen, da dieser nicht mit Java implementiert ist.

Weiter können wir zum aktuellen Zeitpunkt keine Gefahren für die folgenden von uns in vielen Projekten genutzten Open-Source-Software-Produkte feststellen:

• Adobe ACS Commons (https://github.com/Adobe-Consulting-Services/acs-aem-commons/security/advisories)
• ACTool (https://github.com/Netcentric/accesscontroltool/security/advisories)
• WCM.io CA-Config (https://github.com/wcm-io/wcm-io-caconfig/security/advisories)

Bei eggs unimedia verwenden wir ganz überwiegend das modernere slf4j-Logging-Framework (das nicht von der Schwachstelle betroffen ist). Wir stützen uns aber gegebenenfalls auf das vom Applikationsserver bereitgestellte Logging-Framework, welches im Falle von AEM Forms JEE auf log4j basieren und damit einen Angriffsvektor darstellen könnte. Insoweit können wir nur empfehlen, auf entsprechende Veröffentlichungen der Server-Hersteller zu achten.

Für weitere Informationen wenden Sie sich bitte an Ihr Projekt-Team bei eggs oder Martin Brösamle. Wir werden weiter die Situation beobachten und den Artikel mit neuen Erkenntnissen aktualisieren.

[Update 15.12.2021]

Das am 14.12.2021 erschienene Adobe Security Bulletin APSB21-103 für AEM bietet laut Dokumentation von Adobe keine Verbesserung in Bezug auf die Sicherheitslücke CVE-2021-4428: Analysis and Mitigations in der Apache log4J Bibliothek. Das Update sollte jedoch trotzdem installiert werden, da es Schutz vor verschiedenen anderen Angriffsvektoren bietet.

[Update 2 vom 15.12.2021]

Adobe hat die Verwundbarkeit von AEM Forms JEE 6.3, 6.4 und 6.5 bestätigt: Mitigating Log4j2 vulnerability (CVE-2021-44228) for Experience Manager Forms. Im selben Artikel empfiehlt Adobe Schritte zur Minimierung des Risikos. Die von Adobe empfohlene Methode ist die absolut sicherste, aber in unseren Augen auch technisch anspruchsvoll.

[Update 3 vom 20.12.2021]

Mittlerweile hat sich gezeigt, dass die ursprünglich von uns empfohlenen Maßnahmen nur vor einem Teil der Angriffsvektoren schützen. Wir empfehlen daher unbedingt, wie von Adobe im Beitrag Mitigating Log4j2 vulnerabilities (CVE-2021-44228 and CVE-2021-45046) for Experience Manager Forms (adobe.com)  vorgeschlagenen, die verwundbaren Klassen aus der log4j Bibliothek zu entfernen.

[Update 4 vom 21.12.2021] (DIESE MAßNAHMEN ERSETZEN DIE EMPFEHLUNGEN VON UPDATES 1 - 3)

Adobe hat das Add-On Package 6.5.11.1 veröffentlicht, das unter anderem die Sicherheitslücke in der log4J Bibliothek behebt. Unsere Empfehlung ist das Upgrade zu installieren. Weitere Hinweise zum Service Pack gibt es in den Experience Manager 6.5 service pack release notes (Auf der Seite am besten nach 6.5.11.1 suchen). Wer die Mitigation bereits durchgeführt hat, muss nicht unbedingt 6.5.11.1 installieren (es sei denn, die anderen gefixten Bugs machen das Update notwendig).