Flectra image and text block

*UPDATE* Informationen zur Sicherheitslücke CVE-2021-44228

Kritische Schwachstelle in log4j (CVE-2021-44228) betrifft SQUEEZE as a Service und SQUEEZE OnPrem

Die aktuell veröffentliche Schwachstelle in log4j betrifft SQUEEZE-Installationen ab Version 1.x, da die Bibliothek Log4j dort eingesetzt wird. 

Zur BSI-Cybersicherheitswarnung:  BSI Sicherheitsmeldung

SQUEEZE as a Service

Alle SQUEEZE SaaS-Dienste sind bereits von uns abgesichert worden. Entsprechende Pen-Tests wurden durchgeführt und die Sicherheit bestätigt. 


Sofortmaßnahme OnPremises Installationen

Neue Installationen

Bei neuen Windows Installationen mittels des 1.14 Installers wird eine gepatchte Version von Elasticsearch installiert, die von der Log4j-Sicherheitslücke nicht mehr betroffen ist.


Updates bestehender Systeme 

Wir empfehlen als sofortige Maßnahme die System-Umgebungsvariable

LOG4J_FORMAT_MSG_NO_LOOKUPS auf true

zu setzen, welche die Ausführung des Angriffscodes verhindert. Die SQUEEZE Dienste sind anschließend neuzustarten, damit die Umgebungsvariable aktiv wird. 

Die notwendigen Patches für SQUEEZE 1.14.0 sind im Forum downloadbar. 


Manueller Fix PDFExtract (Log4j 2.16)

Das verwendete Tool „PDFExtract“ im SQUEEZE-Ordner htdocs/lib/Java/siphiniti/PDFExtract verwendet eine anfällige Log4j-Version. Diesen Ordner bitte durch den Inhalt dieser ZIP-Datei ersetzen: PDF Extract Download

  1. Backup des Ordners htdocs/lib/Java/siphiniti/PDFExtract erstellen

  2. Ordner durch Patch ersetzen

  3. Einige Testdokumente mit SQUEEZE verarbeiten. Die verarbeiteten Dokumente müssen PDF-Dateien mit Volltext sein. Diese lässt sich bspw. durch das Exportieren einer Word-Datei als PDF erstellen. Alternativ handelt es sich dabei um PDF, in welchen bereits mittels STRG + C Text kopiert werden kann.

  4. Bei den verarbeiteten Dokumenten prüfen, ob Werte erkannt wurden.

Sollte es bei dem Patch zu fehlerhaften Erkennungen kommen, dann schreiben Sie einen Beitrag unter: DEXPRO Forum

Manueller Fix ElasticSearch

Der Elasticsearch-Suchdienst nutzt ebenfalls Logj4 in einer anfälligen Version. Wir möchten darum bitten bei ggf. neu auftretenden Sicherheitslücken der Library die aktuellste Version genutzter JAR-Dateien eigenständig zu ersetzen (zumindest für die Komponenten, die manuell updatebar sind): 

Bitte kopieren Sie die oberen Dateien (bei Windows-Systemen) in den Ordner Installpath\SQUEEZE\elasticsearch\lib (bzw. den korrekten Installations-Ordner auf Ihrem System). Dazu muss vorher der Windows-Dienst von Elasticsearch gestoppt werden.

Die anfälligen Dateien sind zu ersetzen (betroffen sind alle Versionen kleiner als 2.15.0):

  • log4j-core-2.11.1.jar

  • log4j-api-2.11.1.jar

  • log4j-1.2-api-2.11.1.jar


Log4j - Apache Security Vulnerabilities


Für Rückfragen oder Anmerkungen nutzen Sie bitte das Forum oder das Support-Portal / Support-Email support@dexpro-solutions.de