Ist die IDE von der Log4j-Sicherheitslücke (Dezember 2021, CVE-2021-44228, Log4Shell) betroffen?

Info zu Log4J-Sicherheitslücke

Laut Wikipedia (https://de.wikipedia.org/wiki/Log4j#Bekanntwerden_einer_Sicherheitsl%C3%BCcke_im_Dezember_2021): Am 10. Dezember 2021 wurde eine Zero-Day-Lücke in Log4j-Version 2 bekannt (CVE-2021-44228, oft als Log4Shell bezeichnet), die Angreifer ausnutzen konnten...

Ist logi.CAD 3 (= die IDE) von dieser Sicherheitslücke betroffen?

Ja, aber nur, falls Sie eine Version vor V2.0.0 von logi.CAD 3 (= der IDE) verwenden, in der darüber hinaus das Testframework enthalten ist. Beachten Sie: Das Testframework ist nicht in allen Varianten von logi.CAD 3 verfügbar

Stellen Sie wie nachfolgend beschrieben fest, ob beide Bedingungen auf die von Ihnen verwendete logi.CAD 3-Version/-Variante zutreffen:

  1. Öffnen Sie das Menü Hilfe in logi.CAD 3 und wählen Sie den Befehl Info über logi.CAD 3. Kontrollieren Sie, welche Versions-Nummer im Dialog angezeigt wird.

  2. Öffnen Sie in logi.CAD 3 ein Projekt mit mindestens einer POE, die den Vorgaben laut "Bestehendes Projekt für Tests vorbereiten" entspricht. Kontrollieren Sie, ob Sie eine Testsuite für diese POE erstellen können. Falls ja, enthält die logi.CAD 3-Variante das Testframework.

Falls Sie eine logi.CAD 3-Version 1.126.0 (oder kleiner) verwenden, in der das Testframework enthalten ist, ist diese Version/Variante von logi.CAD 3 von der Log4j-Sicherheitslücke laut https://logging.apache.org/log4j/2.x/security.html betroffen. Grund: Das Testframework in diesen Versionen basiert auf Java und setzt eine verwundbare Version der Log4j-Komponente ein.

Empfohlene Vorgangsweise: Installieren Sie die aktuelle logi.CAD 3-Version.
Falls Sie jedoch eine prinzipiell betroffene logi.CAD 3-Version weiterhin verwenden müssen oder wollen, können Sie die Log4j-Sicherheitslücke schließen, indem Sie die Klasse JndiLookup für das Testframework und den Arbeitsbereich folgendermaßen löschen:

  1. Im Explorer des Betriebssystems: Wechseln Sie in den Installationsordner von logi.CAD 3. Wechseln Sie weiter in den Unterordner \plugins\com.logicals.lc3.testframework.core_x.y.z\bin\ (x.y.z entspricht der Versions-Nummer von logi.CAD 3).

  2. Suchen Sie die Datei com.logicals.lc3.testframework.robot.keywords.jar in diesem Ordner.

  3. Öffnen Sie diese Datei mit Hilfe von "7-zip" .
    images/s/b2ic8e/9012/1ca6q62/_/images/icons/emoticons/information.svg Verwenden Sie ein Entpack-Programm, das verschachtelte Pakete korrekt abarbeitet. Beispiel: das freie Datenkompressionsprogramm "7-zip" – Download ist möglich unter: http://7-zip.org/ Falls Sie ein anderes Entpack-Programm verwenden, gehen Sie analog zu den nächsten Schritte vor.

  4. Wechseln Sie in der Datei zu: org\apache\logging\log4j\core\lookup\

  5. Löschen Sie die Datei JndiLookup.class.
    Ergebnis: Die mögliche Angriffsfläche ist nun entfernt. Sie können das Testframework dennoch ohne Einschränkungen verwenden.

  6. Falls Sie einen bestehenden Arbeitsbereich für die logi.CAD 3-Version verwenden wollen, müssen Sie die Datei JndiLookup.class ebenfalls aus der jar-Datei löschen, die für den Arbeitsbereich vorhanden ist.
    Die relevante jar-Datei ist unter dem Unterordner .metadata\.plugins\com.logicals.lc3.testframework.core\ des Arbeitsbereichs zu finden.

Gut zu wissen

images/s/b2ic8e/9012/1ca6q62/_/images/icons/emoticons/lightbulb.svg Ab Version 2.0.0 von logi.CAD 3 basiert das Testframework auf Python, und ist daher nicht mehr verwundbar.

images/s/b2ic8e/9012/1ca6q62/_/images/icons/emoticons/lightbulb.svg Falls Sie selbst prüfen wollen, welche Version der Log4j-Komponente in der aktuellen logi.CAD 3-Version verwendet wird, gehen Sie so vor:

  1. Öffnen Sie das Menü Hilfe in logi.CAD 3.

  2. Wählen Sie den Befehl Info über logi.CAD 3 und klicken Sie auf Installationsdetails.

  3. Im Dialog wechseln Sie zum Register Plug-ins und geben Sie Sie den Begriff log4j im Suchfeld ein.
    Ergebnis: Die Liste zeigt das Plugin Apache Jakarta log4j mit einer Systemversion an. Beispiel für angegebene Systemversion: 1.2.15.v201012070815
    images/s/b2ic8e/9012/1ca6q62/_/images/icons/emoticons/information.svg Die von der Sicherheitslücke betroffenen Versionen von Log4j sind die Versionen 2.0-beta9 bis inkl. 2.14.1, die Versionen 1.2.15, 1.2.19 und 2.15 von Log4j sind nicht betroffen. Falls also z.B. die Systemversion 1.2.19.v20220208-1728 für das Plugin angezeigt wird, ist die Version von logi.CAD 3 nicht von der Sicherheitslücke betroffen.

images/s/b2ic8e/9012/1ca6q62/_/images/icons/emoticons/information.svg logi.cals empfiehlt Ihnen, die aktuellesten Versionen von logi.CAD 3 und des Laufzeitsystems zu installieren und zu verwenden, damit Sie stets über die neuesten Features und Problembehebungen laut den Release-Notes verfügen.

Hat Ihnen dieser Artikel weitergeholfen? Fanden Sie die benötigte Information in der Benutzerdokumentation?
Falls nicht, kontaktieren Sie das Support-Team von logi.cals. Geben Sie Ihre Fragen oder Ihre Vorschläge zur Verbesserung/Erweiterung der Benutzerdokumentation so detailliert wie möglich an.