Patch kritischer Sicherheitsrisiken (CVE-2021-44832, -45105, -45046 und -44228)

Das Fenster „Analyse-App“ in Analytics verwendet Apache Log4j. Infolgedessen ist es von den folgenden kritischen Log4j-Sicherheitsrisiken betroffen, obwohl das tatsächliche Sicherheitsrisiko bei Analytics niedrig ist:

• CVE-2021-44832
• CVE-2021-45105
• CVE-2021-45046
• CVE-2021-44228

Diese Liste mit Sicherheitsrisiken ist gewachsen, weil sich frühere Patches als unvollständig erwiesen haben. Wir bieten einen Patch an, der alle oben genannten Sicherheitsrisiken in Analytics sofort beilegt.

Ihre Optionen

Obwohl das Risiko für Analytics-Benutzer niedrig ist, empfehlen wir trotzdem, das Sicherheitsrisiko durch eine der folgenden Optionen zu adressieren:

• Upgrade auf Analytics 17.0 Weitere Informationen finden Sie unter ACL für Windows Installations- und Aktivierungsleitfaden.Analytics

• Manueller Patch Ihrer aktuellen Analytics-Version Zusätzliche Informationen und Anweisungen finden Sie weiter unten.Analytics

Was ist dies für ein Patch?

Der Patch ist ein offizielles Release von Apache, dem Anbieter von Log4j. Der Patch legt CVE-2021-44832, CVE-2021-45105, CVE-2021-45046 und CVE-2021-44228 in Analytics sofort bei.

Welche Versionen von Analytics sind gefährdet?

Das Risiko ist zwar niedrig, doch es sind alle Versionen von Analytics bis einschließlich Version 15.1.0 betroffen. Unabhängig von Ihrer aktuellen Version empfehlen wir entweder ein Upgrade auf die aktuelle Version von Analytics (17.0) oder einen manuellen Patch Ihrer bestehenden Analytics-Version.

Wie Sie das Patch installieren

Dieser Patch muss auf jedem Computer mit Analytics installiert werden. Sie können ihn manuell oder über ein Batchskript installieren.

Wenn Sie parallel mehr als eine Analytics-Version installiert haben, müssen Sie alle installierten Versionen gesondert patchen.

Batchskript-Methode

Verwenden Sie diese Methode nur, falls Analytics im Standardpfad installiert wurde (C:\Programme (x86)\ACL Software\ACL for Windows <<Version>>). Wenn Analytics in einem anderen Pfad installiert wurde, verwenden Sie die im Folgenden beschriebene manuelle Methode.

1. Schließen Sie Analytics und ACL für Windows, falls die Programme im Moment geöffnet sind.
2. Laden Sie diesen gepackten Ordner auf Ihren Computer herunter.
3. Entzippen Sie den Ordner in einen leicht erreichbaren Pfad, wie C:/temp/patch.
4. Öffnen Sie im Administratormodus eine Windows-Eingabeaufforderung.
5. Rufen Sie den gerade erstellten Ordner auf. Falls Sie beispielsweise in C:/temp/patch entzippt haben, schreiben Sie:
   

   cd c:\temp\patch

6. Führen Sie das Batchskript im soeben entzippten Ordner aus.
   

   .\do_replace.bat

Manuelle Methode

1. Schließen Sie Analytics und ACL für Windows, falls die Programme im Moment geöffnet sind.
2. Laden Sie diesen gepackten Ordner auf Ihren Computer herunter.
3. Entzippen Sie den Ordner.
4. Rufen Sie den Ordner auf, in dem ACL für Windows installiert ist. Beispiel: C:\Programme (x86)\ACL Software\ACL for Windows 15.
5. Öffnen Sie den Ordner ACL App.
6. Ersetzen Sie acl-service.ini durch die neue Version dieser Datei, die Sie gerade heruntergeladen haben.
7. Öffnen Sie den Ordner lib.
8. Ersetzen Sie die unten aufgelisteten vier *.jar-Dateien durch die neue Version der soeben heruntergeladenen Dateien. Der Dateiname der neuen Versionen enthält die Nummer 2.17.1.
   • log4j-1.2-api-2.8.2.jar
   • log4j-api-2.8.2.jar
   • log4j-core-2.8.2.jar
   • log4j-slf4j-impl-2.8.2.jar

Möglicherweise ist auch ein Patch für Analytics Exchange notwendig

Falls Ihre Organisation Analytics Exchange verwendet, sollte ein Systemadministrator auch für dieses Programm einen Patch oder ein Upgrade installieren. Hier finden Sie die Anweisungen für das Patch von Analytics Exchange.