Patch kritischer Sicherheitsrisiken (CVE-2021-44832, -45105, -45046 und -44228)

Analytics Exchange verwendet Apache Log4j. Infolgedessen ist es von den folgenden kritischen Log4j-Sicherheitsrisiken betroffen:

• CVE-2021-44832
• CVE-2021-45105
• CVE-2021-45046
• CVE-2021-44228

Diese Liste mit Sicherheitsrisiken ist gewachsen, weil sich frühere Patches als unvollständig erwiesen haben. Wir bieten einen Patch an, der alle oben genannten Sicherheitsrisiken in Analytics Exchange sofort beilegt.

Was ist dies für ein Patch?

Der Patch ist ein offizielles Release von Apache, dem Anbieter von Log4j. Er legt CVE-2021-44832, CVE-2021-45105, CVE-2021-45046 und CVE-2021-44228 in Analytics Exchange sofort bei.

Welche Versionen von Analytics Exchange sind gefährdet?

Alle Versionen von Analytics Exchange sind betroffen. Unabhängig von der installierten Version empfehlen wir, das Sicherheitsrisiko sofort zu adressieren.

Die folgende Tabelle erläutert die Aktualisierung unterschiedlicher Analytics-Exchange-Versionen.

Aktuell installierte Analytics-Exchange-Version	Aktion	Ergebnis
Analytics Exchange 15.1.0	Manueller Patch von Version 15.1.0 mit log4j-2.17.1-patch-ax.zip Zusätzliche Informationen und Anweisungen finden Sie weiter unten. Hinweis Sie können das Installationspaket von Analytics Exchange nicht für ein Upgrade von Version 15.1.0 auf 15.1.1 verwenden. Verwenden Sie stattdessen den manuellen Patch.	Analytics Exchange 15.1.0 gepatcht, Upgrade auf 15.1.1 nicht notwendig
Analytics Exchange 14.x	Installationsprogramm für AX Server 15.1.1 ausführen (ACLAX1511_Server_<Edition>.exe) Wenn Ihre Organisation auch AX Engine-Knoten nutzt, führen Sie das Installationsprogramm für AX Engine-Knoten 15.1.1 (ACLAX1511_EngineNode_<Edition>.exe) aus. Weitere Informationen finden Sie unter AX Server aktualisieren.	Analytics Exchange wurde auf Version 15.1.1 aktualisiert.
Analytics Exchange 13	Wenden Sie sich zur Unterstützung an den Support. Hinweis Sie können das Installationsprogramm für Analytics Exchange 15.1.1 verwenden, um direkt von Version 13 auf 15.1.1 zu aktualisieren.

Wie Sie das Patch installieren

Sie müssen den Patch auf dem Server installieren, auf dem AX Server installiert ist. Sie müssen den Patch auch auf jedem zusätzlichen Server installieren, auf dem AX Engine-Knoten installiert ist.

So installieren Sie den Patch:

1. Halten Sie die AX-Server-Windows-Dienste an.
2. Ersetzen Sie die Dateien, die das Sicherheitsrisiko aufweisen.
3. Löschen Sie die Logdateien.
4. Starten Sie die AX-Server-Windows-Dienste neu.

Es folgen detaillierte Anweisungen.

1. AX-Server-Windows-Dienste anhalten

1. Öffnen Sie auf dem Server, auf dem AX Server oder AX Engine-Knoten installiert sind, im Dialogfeld Computerverwaltung das Fenster Dienste und Anwendungen und dann das Fenster „Dienste“.
2. Klicken Sie mit der rechten Maustaste in der Liste der Dienste auf jeden unten aufgelisteten Dienst und wählen Sie Beenden.

   Hinweis

   Sie müssen die Dienste in der folgenden Reihenfolge beenden:

   • Analytics-Exchange-Konnektor
   • ACL-Analytics-Exchange-Dienst
   • Analytics-Exchange-Datenbank (nur PostgreSQL-Installationen)

   Ein AX Engine-Knoten besitzt nur zwei der drei oben aufgelisteten Dienste. Er verfügt nicht über den Analytics-Exchange-Datenbankdienst.

2. Dateien ersetzen, die das Sicherheitsrisiko aufweisen

Für AX Server können Sie den Patch manuell oder über das gelieferte Batchskript installieren.

Bei AX Engine-Knoten müssen Sie die manuelle Methode verwenden.

Batchskript-Methode

1. Laden Sie diesen gepackten Ordner auf den Server herunter, auf dem AX Server installiert ist.

   Der Ordner enthält sechs *.jar-Dateien und ein Batchskript.

2. Entzippen Sie den Ordner in einen leicht erreichbaren Pfad, wie C:/temp/patch.
3. Öffnen Sie eine Windows-Eingabeaufforderung. Der Administratormodus ist nicht notwendig.
4. Rufen Sie den gerade erstellten Ordner auf.

   Falls Sie beispielsweise in C:/temp/patch entzippt haben, schreiben Sie:
   

   cd c:\temp\patch

5. Führen Sie das Batchskript im soeben erstellten Ordner aus.
   • Wenn AX Server im Standardpfad (C:\ACL\APP\Tomcat) installiert wurde, geben Sie ein:
     

     .\do_replace.bat

   • Falls AX Server in einem anderen Pfad installiert wurde, geben Sie den Speicherort im Befehl an. Wenn AX Server zum Beispiel unter D:\ACL\APP\Tomcat installiert wurde, geben Sie ein:
     

     .\do_replace.bat D:\ACL\APP\Tomcat

Manuelle Methode

1. Laden Sie diesen gepackten Ordner auf den Server herunter, auf dem AX Server oder ein AX Engine-Knoten installiert ist. Der Ordner enthält sechs *.jar-Dateien.
2. Entzippen Sie den Ordner.
3. Navigieren Sie auf dem Server zum Installationsordner von Tomcat.

   Der Standardpfad lautet C:\ACL\APP\Tomcat. Es ist aber auch möglich, dass Tomcat unter einem anderen Pfad installiert wurde.

4. Ersetzen Sie in den unten aufgelisteten Unterordnern alle vier *.jar-Dateien mit log4j in ihrem Namen durch die neuen Versionen der soeben heruntergeladenen Dateien. Der Dateiname der neuen Versionen enthält die Nummer 2.17.1.

   Hinweis

   Um einen AX Engine-Knoten zu patchen, müssen Sie nur die *.jar-Dateien in C:\ACL\App\Tomcat\axlib ersetzen. Die anderen aufgelisteten Unterordner haben für AX Engine-Knoten keine Bedeutung.

   Unterordner	Aktion
   C:\ACL\App\Tomcat\axlib	Ersetzen Sie alle sechs log4j*.jar-Dateien im Ordner.
   C:\ACL\App\Tomcat\webapps\aclconfig\WEB-INF\lib	Ersetzen Sie log4j-slf4j-impl-<Version>.jar durch log4j-slf4j-impl-2.17.1.jar.
   C:\ACL\App\Tomcat\webapps\auditexchange\WEB-INF\lib	Ersetzen Sie alle fünf log4j*.jar-Dateien im Ordner. Hinweis In diesem Ordner muss keine Datei log4j-jcl-<Version>.jar ersetzt werden.
   C:\ACL\App\Tomcat\webapps\gateway-backend\WEB-INF\lib	Ersetzen Sie log4j-slf4j-impl-<Version>.jar durch log4j-slf4j-impl-2.17.1.jar.
   C:\ACL\App\Tomcat\webapps\gateway\WEB-INF\lib	Ersetzen Sie alle vier log4j*.jar-Dateien im Ordner. Hinweis In diesem Ordner müssen keine Dateien log4j-slf4j-impl-<Version>.jar oder log4j-jcl-<Version>.jar ersetzt werden.
   C:\ACL\App\Tomcat\webapps\cas\WEB-INF\lib	Ersetzen Sie alle fünf log4j*.jar-Dateien im Ordner. Hinweis In diesem Ordner muss keine Datei log4j-1.2-api-<Version>.jar ersetzt werden.

3. Protokolldateien löschen

Öffnen Sie den Ordner C:\ACL\App\Tomcat\logs und löschen Sie alle in ihm enthaltenen Protokolldateien.

4. Windows-Dienste von AX Server neu starten

1. Öffnen Sie das Fenster Dienste aus dem Dialogfeld Computerverwaltung.
2. Klicken Sie mit der rechten Maustaste in der Liste der Dienste auf jeden folgenden Dienst und wählen Sie Starten.

   Hinweis

   Sie müssen die Dienste in der folgenden Reihenfolge starten:

   • Analytics-Exchange-Datenbank (nur PostgreSQL-Installationen)
   • ACL-Analytics-Exchange-Dienst
   • Analytics-Exchange-Konnektor

   Ein AX Engine-Knoten besitzt nur zwei der drei oben aufgelisteten Dienste. Er verfügt nicht über den Analytics-Exchange-Datenbankdienst.

3. Überprüfen Sie die Protokolldateien in C:\ACL\App\Tomcat\logs, um sicherzustellen, dass keine Fehler aufgetreten sind.

Möglicherweise ist auch ein Patch für Analytics notwendig

Wenn Sie Analytics Exchange installiert haben, nutzt Ihre Organisation mit großer Wahrscheinlichkeit auch Analytics, die Desktopanwendung. Auch für diese Installationen von Analytics sollte der Patch oder ein Upgrade durchgeführt werden. Hier finden Sie die Anweisungen für den Patch von Analytics.