UPDATE: Wir können jetzt bestätigen, dass alle Drittanbieter gepatcht wurden, um die aktuell in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu beheben.
Eine kurze Zusammenfassung
Am 9. Dezember 2021 wurde eine kritische Sicherheitslücke in Log4j, einer Java-Bibliothek der Apache Software Foundation, gemeldet, die in CVE-2021-44228 beschrieben ist. Kurze Zeit später erfuhren wir von CVE-2021-45046, von der auch Log4j betroffen war. Wie viele Cloud-basierte Services verwendet Slack Log4j zur Verarbeitung von Protokollen.
Wir haben sofort Maßnahmen ergriffen, um unsere Infrastruktur und unsere Client-Anwendungen zu analysieren und Aktualisierungen vorzunehmen, die die Auswirkungen der Sicherheitslücke verringern. Wir haben unsere erste Korrektur für CVE-2021-44228 am 13. Dezember 2021 und unsere Korrektur für CVE-2021-45046 am 17. Dezember abgeschlossen. Mit Stand vom 17. Dezember 2021 haben wir alle notwendigen Patches und Korrekturen auf die Produktionsservices von Slack angewendet, die für die derzeit in CVE-2021-44228 und CVE-2021-45046 beschriebenen Probleme anfällig sind, und wir führen unsere letzten Validierungsschritte durch.
Wer war betroffen?
Wir haben die Auswirkungen noch nicht vollständig analysiert. Bei jeder Sicherheitslücke, die den Service von Slack.com und die Kundendaten gefährdet, führen wir eine Untersuchung durch, um festzustellen, ob die Sicherheitslücke von Angreifern ausgenutzt wurde, um Zugang zu Kundendaten zu erhalten. Diese Untersuchung wird derzeit für CVE-2021-44228 und CVE-2021-45046 durchgeführt und kann einige Zeit in Anspruch nehmen. Sollten wir feststellen, dass die Daten eines Kunden aufgrund dieser Sicherheitslücke kompromittiert wurden, werden wir den Kunden unverzüglich kontaktieren.
Welche Maßnahmen kann Slack noch ergreifen?
Wir prüfen noch immer, ob bei der Korrektur nichts übersehen wurde, stellen sicher, dass temporäre Korrekturen dauerhaft umgesetzt werden, und untersuchen, ob während der Zeit, in der Slack angreifbar war, die Daten von Kunden betroffen waren.
[Anmerkung der Redaktion: Der Status von Drittanbietern wurde inzwischen bestätigt, siehe obige Aktualisierung.] Außerdem warten wir immer noch auf die Bestätigung von einigen Anbietern, dass ihre Services vollständig gepatcht sind. Wir werden die Entwicklungen im Zusammenhang mit den Log4j-Sicherheitslücken weiter beobachten und unsere Korrekturen gegebenenfalls anpassen.
Was muss ich tun?
Wir empfehlen unseren Kunden, gegebenenfalls die Risiken im Zusammenhang mit Slack-Integrationen zu untersuchen (siehe unten). Der Slack-Service selbst wurde im Backend aktualisiert. Kunden müssen ihre Clients, die Log4j nicht verwenden, nicht aktualisieren und keine Änderungen vornehmen, um die Patches und Korrekturen zu erhalten, die zum Schutz des Slack-Service bereitgestellt werden.
Wenn du mehr Informationen benötigst
Als Reaktion auf diese Sicherheitslücken haben wir unsere Server in Produktions-, Entwicklungs- und Unternehmensumgebungen, unsere Code-Repositorys und die laufenden Produktionsprozesse untersucht, um alle möglichen Verwendungen von Log4j zu identifizieren. Anhand dieser Daten haben wir eine Liste aller potenziell gefährdeten Services erstellt und die Anwendung von Patches oder Workarounds veranlasst, um die potenziellen Auswirkungen des Problems zu verringern. Zum jetzigen Zeitpunkt haben wir für den Slack-Service Korrekturen implementiert, die den Empfehlungen von CVE-2021-44228 und CVE-2021-45046 entsprechen. Wir werden die möglichen Auswirkungen dieser Sicherheitslücken weiterhin prüfen, sobald wir neue Informationen erhalten.
Zwar verarbeiten der Slack-Service und die API Daten unter Verwendung von Log4j, aber die Slack-Clients für Mobilgeräte und Desktops waren von diesen Sicherheitslücken nicht betroffen, da sie Log4j nicht verwenden.
Wir können die Auswirkungen dieser Sicherheitslücken auf die Serviceanbieter in unserem App-Verzeichnis nicht beurteilen. Diese verwenden Log4j möglicherweise nicht. Bitte wende dich für weitere Informationen direkt an den Serviceanbieter, indem du in der App-Liste im App-Verzeichnis von Slack auf den Link „Support anfordern“ klickst.
Wenn du eigene Integrationen erstellt hast, die mit Daten in Slack interagieren (auch als „benutzerdefinierte Integrationen“ bezeichnet), musst du die Auswirkungen überprüfen, die dies auf deine eigene Verwendung von Log4j haben kann, um Folgendes sicherzustellen:
- Der Schutz der Daten, die du über diese benutzerdefinierten Integrationen IN Slack schreibst, liegt in der Verantwortung von Slack. Die Server von Slack wurden aktualisiert, um die Log4j-Sicherheitslücken zu schließen (siehe Informationen oben).
- Die Daten, die du AUS Slack ausliest und in deine eigene Infrastruktur überträgst, stellen ein geringeres Risiko dar, wenn alle Daten in deinem Slack-Workspace aus vertrauenswürdigen Quellen stammen.
- Wenn jedoch Quellen, denen du nicht voll und ganz vertraust, Daten an deinen Slack-Workspace übermitteln, solltest du sofort sicherstellen, dass die von dir gehostete Infrastruktur, die die Protokollierung über Log4j unterstützt, gepatcht wurde und auf dem neuesten Stand ist.
Was solltest du sonst noch wissen?
Es gibt mehrere gute Quellen für Hintergrundinformationen über die Log4j-Bibliothek und ihre Probleme. Für diejenigen, die mehr Kontext benötigen, empfehlen wir folgende Ressourcen:
Bei technischen Fragen kannst du dich an die Mitglieder unseres Slack-Support-Teams wenden. Sie erstellen gerne einen Support-Fall für dich.