Ist die IDE von der Log4j-Sicherheitslücke (Dezember 2021, CVE-2021-44228, Log4Shell) betroffen?
| Info zu Log4J-Sicherheitslücke |
|---|
|
Laut Wikipedia (https://de.wikipedia.org/wiki/Log4j#Bekanntwerden_einer_Sicherheitsl%C3%BCcke_im_Dezember_2021): Am 10. Dezember 2021 wurde eine Zero-Day-Lücke in Log4j-Version 2 bekannt (CVE-2021-44228, oft als Log4Shell bezeichnet), die Angreifer ausnutzen konnten... |
Ist Neuron Power Engineer (= die IDE) von dieser Sicherheitslücke betroffen?
Ja, aber nur, falls Sie eine Version vor V2.0.0 von Neuron Power Engineer (= der IDE) verwenden, in der darüber hinaus das Testframework enthalten ist. Beachten Sie: Das Testframework ist nicht in allen Varianten von Neuron Power Engineer verfügbar.
Stellen Sie wie nachfolgend beschrieben fest, ob beide Bedingungen auf die von Ihnen verwendete Neuron Power Engineer-Version/-Variante zutreffen:
-
Öffnen Sie das Menü Hilfe in Neuron Power Engineer und wählen Sie den Befehl Info über Neuron Power Engineer. Kontrollieren Sie, welche Versions-Nummer im Dialog angezeigt wird.
-
Öffnen Sie in Neuron Power Engineer ein Projekt mit mindestens einer POE, die den Vorgaben laut "Bestehendes Projekt für Tests vorbereiten" entspricht. Kontrollieren Sie, ob Sie eine Testsuite für diese POE erstellen können. Falls ja, enthält die Neuron Power Engineer-Variante das Testframework.
Falls Sie eine Neuron Power Engineer-Version 1.126.0 (oder kleiner) verwenden, in der das Testframework enthalten ist, ist diese Version/Variante von Neuron Power Engineer von der Log4j-Sicherheitslücke laut https://logging.apache.org/log4j/2.x/security.html betroffen. Grund: Das Testframework in diesen Versionen basiert auf Java und setzt eine verwundbare Version der Log4j-Komponente ein.
Empfohlene Vorgangsweise: Installieren Sie die aktuelle Neuron Power Engineer-Version.
Falls Sie jedoch eine prinzipiell betroffene Neuron Power Engineer-Version weiterhin verwenden müssen oder wollen, können Sie die Log4j-Sicherheitslücke schließen, indem Sie die Klasse JndiLookup für das Testframework und den Arbeitsbereich folgendermaßen löschen:
-
Im Explorer des Betriebssystems: Wechseln Sie in den Installationsordner von Neuron Power Engineer. Wechseln Sie weiter in den Unterordner
\plugins\com.logicals.lc3.testframework.core_x.y.z\bin\(x.y.zentspricht der Versions-Nummer von Neuron Power Engineer). -
Suchen Sie die Datei
com.logicals.lc3.testframework.robot.keywords.jarin diesem Ordner. -
Öffnen Sie diese Datei mit Hilfe von "7-zip".
Verwenden Sie ein Entpack-Programm, das verschachtelte Pakete korrekt abarbeitet. Beispiel: das freie Datenkompressionsprogramm "7-zip" – Download ist möglich unter: http://7-zip.org/Hinweis: Ein zu langer Installationspfad kann Probleme verursachen (siehe "Zu langer Installationspfad verhindert das Erstellen/Laden der Anwendung"). Um den Installationspfad möglichst kurz zu halten, wird empfohlen, dass Sie beim Entpacken des Pakets alle Optionen/Einstellungen deaktivieren, durch die ein zu langer Installationspfad entsteht.
Falls Sie ein anderes Entpack-Programm verwenden, gehen Sie analog zu den nächsten Schritte vor. -
Wechseln Sie in der Datei zu:
org\apache\logging\log4j\core\lookup\ -
Löschen Sie die Datei
JndiLookup.class.
Ergebnis: Die mögliche Angriffsfläche ist nun entfernt. Sie können das Testframework dennoch ohne Einschränkungen verwenden. -
Falls Sie einen bestehenden Arbeitsbereich für die Neuron Power Engineer-Version verwenden wollen, müssen Sie die Datei
JndiLookup.classebenfalls aus der jar-Datei löschen, die für den Arbeitsbereich vorhanden ist.
Die relevante jar-Datei ist unter dem Unterordner.metadata\.plugins\com.logicals.lc3.testframework.core\des Arbeitsbereichs zu finden.
| Gut zu wissen |
|---|
|
|
Ab Version 2.0.0 von