Status Apache Log4J Vulnerability und die TAMA Automotive Toolkette
Auch Sie haben inzwischen sicher bereits von dem Zero-Day-Exploit CVE-2021-44228 gehört, welches die allseits beliebte Java-Bibliothek Apache Log4J betrifft und welche in Millionen Software-Projekten sowie Opensource-Projekten weltweit intensiv verwendet wird.
Durch diese Sicherheitslücke könnte schlimmstenfalls beliebiger schadhafter Code (Malware) über JNDI aus dem Internet nachgeladen und auf den betroffenen Rechnern zur Ausführung gebracht werden, betroffen sind sowohl klassische Software-Produkte sowie jedoch auch Server-Anwendungen oder Datenbank-Applikationen bis hin zu Smarthome-Geräten und weiteren IT-Systemen. Lediglich das Logging eines böswilligen Befehls kann hier zu einer massiven Angreifbarkeit der jeweiligen Systeme führen weshalb diese Sicherheitslücke als kritisch eingestuft wurde.
Für die TAMA Toolkette kann insofern Entwarnung gegeben werden, als dass für den TAMA Specification Editor mit der Version v1.7.1 bereits ein Update zur Verfügung steht, welches diese Sicherheitslücke schließt. Durch das Löschen einer Datei sowie das Aktualisieren der log4j.jar lässt sich dieser Patch jederzeit auch noch nachträglich einspielen (oder aber durch das Löschen der Class-Dateien JMSAppender.class und SocketServer.class aus diesem JAR-Archiv).
Somit wird dieses Update (oder jegliche aktuellere Version) dringend zur Installation empfohlen. Zukünftige Versionen des TAMA Specification Editors werden überhaupt keine Log4J-Bibliotheken mehr enthalten, da diese mit Umstieg auf MPS 2021.1 nicht mehr als Teil des MPS-Frameworks enthalten sein werden.
Der TAMA Testcase Generator ist von dieser Sicherheitslücke nicht betroffen, da hier keinerlei Log4J-Bibliothek zum Einsatz kommt zu Gunsten anderer Logger-Bibliotheken.
Beachten Sie jedoch, dass auch das Testautomatisierungs-System EXAM SA von dieser Sicherheitslücke betroffen ist, für welches der TAMA Testcase Generator eine Addon-Lösung bereitstellt. Aber auch hier hat die MicroNova AG bereits ein entsprechendes Update veröffentlicht. Hierzu muss ein Update auf EXAM SA 4.9.10 zwingend erfolgen. Die Log4J-Bibliothek wurde auch hier ebenfalls komplett entfernt.