Durch die am 09.12.2021 unter dem Namen Log4Shell veröffentlichte Sicherheitslücke in der Java Bibliothek Log4J ist auch indirekt eine Anzahl der Installationen des TFS bzw. Azure DevOps Server betroffen. Diese verwenden natürlich keine Java Bibliothek direkt im Code, aber wenn das Feature „Code Search“ installiert ist, dann verwendet das dafür genutzte Elasticsearch die Komponente Log4J und ist damit potenziell für einen solchen Angriff ungeschützt.
Nähere Informationen zu der Sicherheitslücke finden sie im zugehörigen Artikel des BSI: BSI – Kritische Schwachstelle in Java-Bibliothek log4j (bund.de).
Azure DevOps und Java
Um dem TFS oder dem Azure DevOps Server eine performante und komfortable Suche über die gespeicherten Artefakte zu ermöglichen, integrierte Microsoft das Produkt Elasticsearch und lässt es den Anwender optional zur Installation auswählen. Elasticsearch ist ein Java Open Source Projekt, das sich zum Ziel gesetzt hat, eine performante Suche für unterschiedlichste Daten bereitzustellen und diese in unterschiedlichsten Konstellationen nutzbar zu machen. Elasticsearch verwendet selbst die oben genannte Komponente Log4J, um Logs bereitstellen zu können und so den laufenden Betrieb zu überwachen oder eine Fehlersuche zu erleichtern.
Schutzmaßnahmen
Um sich gegen die Gefahr zu schützen, durch eine Ausnutzung der Sicherheitslücke geschädigt zu werden, können Sie dem in dem nachfolgend verlinkten Blog Post beschriebenen Vorgehen folgen. Damit ist sichergestellt, dass Sie auf diesem Wege nicht mehr angegriffen werden können.
Jesse Houwing: Azure DevOps 2020 and 2019 (and 2018) patch for log4j vulnerability
Microsoft selbst hat sich in folgendem Blog Beitrag zu der Lücke geäußert und dort die Aussagen des vorherigen Posts bestätigt. Zudem stellt Microsoft hier klar, dass die von ihnen gehosteten Instanzen von Azure DevOps nicht von der Sicherheitslücke betroffen sind.
Azure DevOps (and Azure DevOps Server) and the log4j vulnerability
Parallel arbeitet Microsoft an Patches für betroffene Systeme. Sobald diese veröffentlicht werden können Sie Informationen dazu bei den Azure DevOps Release Notes finden, wenn sie ihre Version auswählen.
Weitere Maßnahmen
In einem Artikel des Microsoft Threat Intelligence Center weisen Sicherheitsexperten von Microsoft darauf hin, dass die Möglichkeit besteht, dass betroffene Systeme bereits kompromittiert sind und geben eine Reihe Hinweise, wie eine weitere Untersuchung der Systeme und der Umgebungen aussehen kann, um diese Vermutung zu bestätigen oder zu widerlegen. Dazu enthält der Beitrag auch Hinweise, wie Netzwerke für ähnliche Sicherheitslücken zukünftig besser abgesichert werden können.
Sprechen Sie uns an, wenn Sie Fragen haben oder Unterstützung in Ihrem Softwareentwicklungsprozess benötigen: Von der ersten Idee über die Entwicklung mit einer Build– und Release-Pipeline bis hin zur Inbetriebnahme und Wartung. Wir führen Sie gerne ans Ziel.