Wissensdatenbank: MicroFocus
Micro Focus Advanced Authentication Schritte zum Verhindern der CVE-2021-44228 "Log4J" Problematik
Gepostet von Kevin Senier an 14 December 2021 16:12

Am 17.12.2021 wurde der Patch 1 für AAF 6.3 SP6 veröffentlicht welcher die Sicherheitslücke behebt.


Für AAF Version kleiner 6.3. SP6 Patch 1 (6.3.6.1)

Hinweis:

Die folgenden Änderungen müssen nach einem Update der Appliance erneut vorgenommen werden. Das Aktuelle AAF 6.3 SP6 hat die Fehlerbehebung noch nicht integriert.

Für das Bearbeiten der Dateien nutzen Sie am besten "vi". Auf der folgenden Seite (https://www.fehcom.de/pub/viref.pdf ) finden Sie ein paar Hinweise zur Verwendung von "vi". 

  1. Greifen Sie per SSH auf die AAF Server zu
  2. Öffnen und bearbeiten Sie die Datei „vi /opt/aauth/docker-compose.yml
    • Suchen Sie nach der Variablen „ES_JAVA_OPTS
    • Fügen Sie dieser Variable den Wert „-Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier ein Beispiel, wie es aussehen muss:
        • "ES_JAVA_OPTS=-Xms1g -Xmx1g -Dlog4j2.formatMsgNoLookups=true"
      • Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  3. Öffnen und bearbeiten Sie die Datei „vi /opt/risk/docker-compose.risk.yml
    • Suchen Sie in jedem Bereich nach der Variable „environment“
    • Fügen Sie dieser Variable den Wert -Dlog4j2.formatMsgNoLookups=true“ hinzu
      • Hier einige Beispiele aus den Bereichen, wie es aussehen muss:
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Xmx1024m -Xms512m -Xss256k -XX:NewSize=700m -XX:MaxMetaspaceSize=128m -XX:MetaspaceSize=128m -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=1g -Dlog4j2.formatMsgNoLookups=true"
        • environment: - "JAVA_OPTS=-XX:MaxRAM=512m -Dlog4j2.formatMsgNoLookups=true" ...
        • environment: - "JAVA_OPTS=-XX:MaxRAM=2g -Dlog4j2.formatMsgNoLookups=true"…
  4. Nachdem Sie die Änderungen durchgeführt haben, speichern Sie die Datei
  5. Starten Sie nun den AAF und Risk-Service Dienst neu
    • systemctl restart aauth
    • systemctl restart risk-service
    • Bitte prüfen Sie ob die Änderungen übernommen wurden:
      • grep -i "ES_JAVA_OPTS" /opt/aauth/docker-compose.yml
      • grep -i "JAVA_OPTS" /opt/risk/docker-compose.risk.yml
  6. Löschen Sie nun die JndiLookup.class auf dem AAF searchd Container
    • Paket per Zypper installieren (online)
      • docker exec -it aaf_searchd_1 bash
      • zypper -n in zip
    • Paket manuell installieren (offline)
    • zip -q -d lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
    • chown elasticsearch:elasticsearch lib/log4j-core-*.jar
    • exit

 

Log4j vulnerability and Advanced Authentication (microfocus.com)