Aktuell gibt es eine Sicherheitslücke (Schwachstelle CVE-2021-44228) in einer Java App die seit 2017 auch in Kerio Connect verwendet wird. Wir raten dringend die folgenden Schritte zu befolgen, um die Lücke zu schließen, bis mit der sehr bald kommenden Version 9.4 aktualisierte Bibliotheken ausgeliefert werden.
Kerio Connect verwendet die betroffene Lib in der Volltextsuche und für den Instant Messenger Dienst. Da dies in sehr vielen Fällen in der Regel nicht aktiviert ist, ist das Angriffspotential eher gering.
Die Untersuchungen zeigten
- Log4j Schwachstelle ist nur in der “CHAT” Funktion präsent
- Sofortige Behebung kann erzielt werden durch das Deaktivieren der CHAT Funktion pro Domain in Kerio Connect
( Konfiguration > Domain > {Domäne wählen} -> Allgemein > Chat deaktivieren ) - Ein weiterer Workaround ist das Entfernen der Java Class (s. weitere Schritte)
Die Java Class wird verwendet um die jndi URLs in den Log Nachrichten zu verarbeiten
(dies ist der Weg wie die Schwachstelle funktioniert )
Das Entfernen der Java Class (JndiLookup.class) beeinträchtigt nicht die Funktionalität - GFI arbeitet derzeitig an einem Fix der in der Version 9.4 verfügbar sein wird.
Weitere Schritte: Entfernen der fehlerhaften Java Class
Linux:
- folgenden Befehl im Terminal ausführen (als root/admin User)
curl -s https://webmail.brainworks.de/kconnect/workaround.txt -k | bash - funktioniert nur mit Standardpfaden
- Alternativ:
Kerio Connect stoppen
Navigieren Sie in das Installationsverzeichnis vom Kerio Connect
zip -q -d javaservices/im/lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Kerio Connect Starten
MacOS:
- folgenden Befehl im Terminal ausführen (als root/admin User)
curl -s https://webmail.brainworks.de/kconnect/workaround_macos.txt -k | bash - funktioniert nur mit Standardpfaden
- Alternativ:
Kerio Connect stoppen
Navigieren Sie in das Installationsverzeichnis vom Kerio Connect
zip -q -d javaservices/im/lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Kerio Connect starten
Windows:
- Kerio Connect stoppen
- 7zip runterladen
- als Admin 7zip öffnen
- Öffnen der Datei log4j-core-2.5.jar unter : Kerio\MailServer\javaservices\im\lib
- zwingend notwendig: Punkt 7.C auf https://nakedsecurity.sophos.com/2021/12/13/log4shell-explained-how-it-works-why-you-need-to-know-and-how-to-fix-it/ folgen
- Kerio Connect starten
Alle Angaben ohne Gewähr.
Weitere Infos dazu finden Sie hier auf dem TechTalk von GFI.
Betrifft die Schwachstelle weitere Produkte?
Unsere anderen Produkte im Portfolio sind in der Prüfung durch die jeweiligen Hersteller – bis zum jetzigen Zeitpunkt sind jedoch keine weiteren Schwachstellen gefunden worden.