Is PRTG affected by CVE-2021-44228 or CVE-2021-44832? If so, is there any mitigation possible?
Is PRTG affected by CVE-2021-44228
Votes:
14
4 Replies
Votes:
2
English:
In response to the vulnerability in the Apache Log4j library, also known as Log4Shell, we at Paessler can confirm that our software Paessler PRTG Network Monitor and Paessler PRTG Hosted Monitor (as well as the underlying infrastructure) does not use this Apache logging component and is therefore not affected.
We are also currently conducting a thorough investigation of our internal infrastructure as well as staying in close contact with the manufacturers to ensure that all our services stay secure.
The Elastic Search Component of the ITOPs Board bundled in our Paessler PRTG Enterprise Monitor Product is potentially affected by CVE-2021-44228
Important notice: The following guidance only applies to Paessler PRTG Enterprise Monitor. Paessler PRTG Network Monitor, Paessler PRTG Hosted Monitor, and other products of Paessler are not subject to the problem described below.
If ITOps Board is configured as outlined in our configuration guide (ITOps Board), it includes a deployment of Elasticsearch that runs a potentially vulnerable version of Log4j2 on top of JDK 11.
According to the currently available information, such as AWS Advisory AWS-2021-006, we have concluded that using Log4j2 in the included version on JDKs after 8u121 or 8u191 (including JDK 11 and later) seems to mitigate the issue. However, this may only be a partial mitigation.
The recommended solution is to upgrade Log4j2 to 2.17+. As a precaution, any Log4j2 versions that are older than 2.17 should be considered to be affected regardless of the JDK distribution or version used.
Recommended solution
We've released an updated version 2.11.3 of ITOps Board, that includes elastic search version 6.8.22. Please update as soon as possible. You can find all the needed files here.
Additional methods
According to the developers of Elasticsearch, you can:
- Update to a JDK later than 8 to achieve at least partial mitigation.
- Follow the instructions regarding Elasticsearch from the developer and upgrade to Elasticsearch 6.8.22, you can find the download link here: elasticsearch-6-8-22
Furthermore, you can also mitigate the vulnerability via one of the following methods:
- Disable the formatMessageLookup as follows:
- Stop the service Elasticsearch.
- Add -Dlog4j2.formatMsgNoLookups=true to the log4j part of C:\Program Files\Elasticsearch\elasticsearch\config\jvm.options.
- Start the service Elasticsearch again.
- Manually update Log4j2 to version 2.17+ as follows:
- Obtain a version of log4j later than 2.17 from the developers on https://logging.apache.org/log4j/2.x/download.html
- Stop the service Elasticsearch.
- Deploy an updated version of log4j-1.2-api-2.xx.y, log4j-api-2.xx.y, and log4j-core-2.xx.y to C:\Program Files\Elasticsearch\elasticsearch\lib and remove the current version 2.11.0.
- Start the service Elasticsearch again.
- Only if the website of the ITOpsboard does not work after the changes:
- Reset the IIS settings of the ITOpsboard after showing a failure as described here.
German:
Als Reaktion auf die Sicherheitslücke in der Apache Log4j Bibliothek, auch bekannt als Log4Shell, können wir bei Paessler bestätigen, dass unsere Software Paessler PRTG Network Monitor und Paessler PRTG Hosted Monitor (sowie die gesamte unterliegende Infrastruktur) diese Apache Logging Komponente nicht verwendet und daher nicht betroffen ist.
Wir führen derzeit eine gründliche Untersuchung unserer internen Infrastruktur durch und stehen in engem Kontakt mit den Herstellern, um zu garantieren, dass alle unsere Dienste sicher bleiben.
Die Elastic Search-Komponente des ITOPs Boards, das in unserem Paessler PRTG Enterprise Monitor Produkt enthalten ist, ist möglicherweise von CVE-2021-44228 betroffen.
Wichtiger Hinweis: Die folgende Anleitung gilt ausschließlich für Paessler PRTG Enterprise Monitor. Paessler PRTG Network Monitor, Paessler PRTG Hosted Monitor und andere Produkte von Paessler sind nicht von dem unten beschriebenen Problem betroffen.
Wenn das ITOps Board wie in unserer Konfigurationsanleitung (ITOps Board) konfiguriert ist, enthält es eine Instanz von Elasticsearch, die eine potenziell anfällige Version von Log4j2 auf JDK 11 beinhaltet.
Mit den derzeitig verfügbaren Informationen, wie z.B. AWS Advisory AWS-2021-006, sind wir zu dem Schluss gekommen, dass die Verwendung von Log4j2 in der mitgelieferten Version auf JDKs nach 8u121 oder 8u191 (einschließlich JDK 11 und später) das Problem zu entschärfen scheint. Dies ist jedoch möglicherweise nur ein Teilschritt zur kompletten Mitigation.
Die empfohlene Lösung ist ein Upgrade von Log4j2 auf 2.17+. Als Vorsichtsmaßnahme sollten alle Log4j2-Versionen, die älter als 2.17 sind, als betroffen angesehen werden, unabhängig von der verwendeten JDK-Distribution oder Version.
Empfohlene Lösung
Bitte updaten Sie auf version 2.11.3 von ITOps Board, welche die elastic search version 6.8.22 enthält. Alle benötigten Installationdateien finden Sie hier.
Zusätzliche Empfehlungen
Um der Empfehlung von Elasticsearch nachzugehen:
- Aktualisieren Sie auf eine JDK Version über 8 um zumindest teilweise Gegenmaßnahmen einzuleiten.
- Befolgen Sie die Anweisungen des Herstellers Elasticsearch und aktualisieren Sie auf Elasticsearch 6.8.22, hier kommen Sie direkt zu der Download Seite des Herstellers: elasticsearch-6-8-22.
Darüber hinaus können Sie die Schwachstelle auch mit einer der folgenden Schritte absichern:
- Deaktivieren Sie formatMessageLookup wie folgt:
- Stoppen Sie den Dienst Elasticsearch.
- Fügen Sie die Zeile -Dlog4j2.formatMsgNoLookups=true zu dem log4j Teil unter "C:\Program Files\Elasticsearch\elasticsearch\config\jvm.options" hinzu.
- Starten Sie den Service Elasticsearch erneut.
- Updaten Sie Log4j2 auf Version 2.17+ wie folgt:
- Laden Sie eine log4j Version über 2.17 von den Entwicklern selbst: https://logging.apache.org/log4j/2.x/download.html
- Stoppen Sie den Dienst Elasticsearch.
- Updaten Sie die Dateien log4j-1.2-api-2.xx.y, log4j-api-2.xx.y, and log4j-core-2.xx.y im Verzeichnis C:\Program Files\Elasticsearch\elasticsearch\lib und entfernen Sie Version 2.11.0.
- Starten Sie den Dienst Elasticsearch erneut.
- Ausschließlich wenn die ITOpsboard-Webseite nach den Änderungen nicht korrekt aufrufbar ist:
- Setzen Sie die IIS Einstellungen des ITOpsboard zurück, wie hier beschrieben.
Created on Dec 15, 2021 7:47:39 AM by
Brandy Greger [Paessler Support]
Last change on Dec 23, 2021 12:04:40 PM by
Mathias Hengl [Paessler Support]
Votes:
0
Update: We raised the log4J Version for manual mitigation to 2.16+ to clarify that users should use the latest available Version, especially in regards of the second CVE-2021-45046. Customers that manually mitigated by installing Log4J Version 2.15 should consider to update to the latest version again 2.16+.
The mitigation path over the elastic search version 6.8.21 should be save, since they removed the jndi Lookups class completely according to https://www.elastic.co/guide/en/elasticsearch/reference/6.8/release-notes-6.8.21.html
Created on Dec 17, 2021 10:13:38 AM by
Mathias Hengl [Paessler Support]
Last change on Dec 17, 2021 10:14:12 AM by
Mathias Hengl [Paessler Support]
Votes:
0
Update: We raised the Log4J Version to 2.17+ and the elastic Search version to 6.8.22 to address CVE-2021-45105
Created on Dec 20, 2021 8:16:14 AM by
Mathias Hengl [Paessler Support]
Last change on Dec 21, 2021 8:54:54 AM by
Mathias Hengl [Paessler Support]
Votes:
0
Update: We've released an updated Version of ITOps Board, that includes elastic search version 6.8.22.
Add comment