Statements

Beste lezer,

Vanuit verschillende bronnen (NCSC.nl, VCIB en ACIB) zijn wij op de hoogte gebracht van een kwetsbaarheid in de “Apache Commons Text” library.

In het kort:
SmartDocuments maakt géén gebruik van de Apache Commons Text Library, waardoor deze kwetsbaarheid voor de SmartDocuments software niet relevant is, ongeacht de versie.

Meer informatie:
https://nvd.nist.gov/vuln/detail/CVE-2022-42889
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0650

De kwetsbaarheid zit in de volgende versies: Apache Software Foundations Commons Tekst 1.5 t/m 1.9. De kwetsbaarheid is gepatcht in versie 1.10.0.

Voor nadere inhoudelijke vragen kunt u altijd contact opnemen met de CISO van SmartDocuments via SecurityOfficer@SmartDocuments.com.

Met vriendelijke groet,

Freek de Cloet

Security Officer SmartDocuments

Wij zijn op de hoogte van de kwetsbaarheid rondom 'Spring4Shell' en we hebben de eventuele impact voor SmartDocuments onderzocht.

SmartDocuments maakt weliswaar gebruik van JDK11 en van de kwetsbare versie van Spring Core Framework, maar de kwetsbaarheid vloeit in dit geval voort uit het gebruik van zgn. 'form bindings'. SmartDocuments maakt hier geen gebruik van.

Onze conclusie is daarom dat SmartDocuments niet geraakt wordt door deze kwetsbaarheid, wat maakt dat er geen verdere actie nodig is.

Voor eventuele vragen hierover kunt u terecht bij onze Security Officer, via SecurityOfficer@SmartDocuments.com.

Met vriendelijke groet,

Freek de Cloet

Security Officer SmartDocuments

In verband met de mogelijke impact hebben we alle nodige voorzorgsmaatregelen getroffen om jullie te voorzien van de juiste en betrouwbare informatie.

Na uitgebreid overleg en laten testen door onze R&D afdeling kom ik met de volgende reactie:
SmartDocuments maakt gebruik van Libraries die weer gebruik maken van de API van Log4j 2. De genoemde kwetsbaarheid zit niet in de API kant van de Log4j 2, maar in de implementatiekant. De implementatiekant van Log4j 2 zit NIET in de SmartDocuments software en staat zodoende ook niet op de servers.

Helaas is het niet mogelijk om API van Log4j 2 ook van de server af te halen, omdat dan de libraries waar SmartDocuments gebruik van maakt niet meer zullen werken.

Nogmaals: het beveiligingsissue zit NIET in de API van Log4j 2, SmartDocuments maakt gebruik van Logback als implementatie (waar dit veiligheidsissue niet inzit).

Zie ook scan resultaten van https://github.com/logpresso/CVE-2021-44228-Scanner, die op zoek gaat naar Log4j 2 vulnerability in .jar’s in de software.
Dit is een tool die expliciet op zoek gaat naar de veiligheidsbug binnen software, ik zal voor de volledigheid onze resultaten meesturen:
java -jar logpresso-log4j2-scan-1.4.0.jar "C:\temp\builds\2020 Q3 (2.20.09.06)"
Logpresso CVE-2021-44228 Vulnerability Scanner 1.4.0 (2021-12-15)
Scanning directory: C:\temp\builds\2020 Q3 (2.20.09.06)
Running scan (17s): scanned 95 directories, 1000 files, last visit: C:\temp\builds\2020 Q3 (2.20.09.06)\sdapi\WEB-INF\lib
Running scan (27s): scanned 183 directories, 3377 files, last visit: C:\temp\builds\2020 Q3 (2.20.09.06)\smartcontrol\WEB-INF\lib
Running scan (39s): scanned 277 directories, 4377 files, last visit: C:\temp\builds\2020 Q3 (2.20.09.06)\wsxmldeposit\WEB-INF\classes\nl\kinggemeenten\stuf\sector\dcr0310

Scanned 288 directories and 4961 files
Found 0 vulnerable files
Found 0 potentially vulnerable files
Completed in 46,90 seconds

java -jar logpresso-log4j2-scan-1.4.0.jar "C:\temp\builds\2021 Q4 (2.21.13.03)"
Logpresso CVE-2021-44228 Vulnerability Scanner 1.4.0 (2021-12-15)
Scanning directory: C:\temp\builds\2021 Q4 (2.21.13.03)
Running scan (12s): scanned 126 directories, 1482 files, last visit: C:\temp\builds\2021 Q4 (2.21.13.03)\sdapi\WEB-INF\lib

Scanned 320 directories and 5394 files
Found 0 vulnerable files
Found 0 potentially vulnerable files
Completed in 23,34 seconds

Al is het niet noodzakelijk aangezien het geen veiligheidsissue is, kan binnen Tomcat Monitor de volgende feature aangezet worden om de kwetsbaarheid uit te sluiten:
-Dlog4j2.formatMsgNoLookups=true

Vanuit R&D heb ik de bevestiging gekregen dat de .jar 1.X nog in onze software package zit, maar niet gebruikt wordt.
Vanaf aankomende release (2021 Q4) zullen deze bestanden dan ook verwijderd zijn op de software installatie map, zodat ook alle “oude” bestanden opgeruimd zijn.
Wij adviseren dan ook met de reguliere installatie/upgrade planning te blijven upgraden.

ElasticSearch
Vanaf 2021 Q2 maakt SmartDocuments gebruik van ElasticSearch. ElasticSearch wordt enkel en alleen gebruikt door klanten die de Search module hebben aangeschaft.

De volgende bevinden zijn onderzocht:
SmartDocuments gebruikt ElasticSearch voor de indexering van de inhoud van de templates.
Hoewel de Log4j 2 versie die gebruikt wordt kwetsbaar is voor de ElasticSearch, is de officiele statement van ElasticSearch dat hun versie 7 NIET in aanmerking komt voor de kwetsbaarheid vanwege Java Security Manager die zij gebruiken (bron):
https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Affected Versions:
Elasticsearch versions 5.0.0+ contain a vulnerable version of Log4j. Elasticsearch 5 is susceptible to both remote code execution and an information leak via DNS. We’ve confirmed that the Security Manager mitigates the remote code execution attack in Elasticsearch 6 and 7.

ElasticSearch heeft een nieuwe versie uitgebracht waarin de meest recente Log4J libraries zijn gebruikt waarin de kwetsbaarheden zijn uitgesloten.
SmartDocuments maakt gebruik van ElasticSearch middels publiekelijke API’s, wat betekent dat SmartDocuments compliant is voor de nieuwe versie en een upgrade zal plaatsvinden bij de reguliere upgrades.
(Opsommend waarom wij niet direct een nieuwe versie installeren heeft 2 redenen:
• De kwetsbaarheid is onderdrukt door de Java Security Manager, zie hierboven
• ElasticSearch maakt gebruik van Poort 9200 en deze staat by default niet publiekelijk open naar het internet
Tot slot geldt ook voor de ElasticSearch feature dat deze tijdens de reguliere installatie/upgrade planning geupgrade zal worden naar de laatste versie.

Bij aanvullende vragen SecurityOfficer@SmartDocuments.com.

Beste lezer,

Vanuit verschillende bronnen (NCSC.nl, VCIB en ACIB) zijn wij op de hoogte gebracht van een kwetsbaarheid in de “OpenSSL”.

In het kort:
SmartDocuments On-Premise gebruikt geen OpenSSL.
SmartDocuments SaaS gebruikt OpenSSL v1.1.1. Deze versie wordt niet geraakt door dit lek.

Aanvullende informatie:
De kwetsbaarheid zit in OpenSSL 3.0.0-3.0.6 en is gepatched vanaf versie 3.0.7.
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
https://github.com/NCSC-NL/OpenSSL-2022
https://www.globalsign.com/en/blog/urgent-patch-openssl-november-1-avoid-critical-security-vulnerability

Voor nadere inhoudelijke vragen kunt u altijd contact opnemen met de CISO van SmartDocuments via SecurityOfficer@SmartDocuments.com.

Met vriendelijke groet,

Freek de Cloet

Security Officer SmartDocuments