Die Auswirkungen der Sicherheitslücke Apache Log4j in der Contact Center-Lösung von Cisco
Inhalt
Einleitung
In diesem Dokument werden die Auswirkungen der Apache Log4j-Schwachstelle auf die Cisco Contact Center-Produktreihe (UCCE) beschrieben.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Unified Contact Center-Produktversion 11.6 und höher.
Hintergrundinformationen
Apache hat kürzlich eine Schwachstelle in der Log4j-Komponente gemeldet. Diese Komponente wird häufig in Cisco Contact Center-Lösungen verwendet. Cisco überprüft gerade das Produktportfolio, um zu klären, welche Produkte betroffen sind.
Dieses Dokument wird um weitere Informationen ergänzt, sobald diese verfügbar sind.
| Anwendung | Fehler-ID | 11.6.(2) | 12.0(1) | 12.5(1) | 12.6(1) |
|---|---|---|---|---|---|
| UCCE/ICM | CSCwa47273 |
Hinweis 1: Patch ES_55 erforderlich – siehe OpenJDK-Migrationsdokument Hinweis 2: Tomcat-Versionsprüfung – siehe Abschnitt „Tomcat-Versionsprüfung auf ICM-Servern“ unten |
|||
| PCCE | CSCwa47274  |
Hinweis 1: Patch ES_55 erforderlich – siehe OpenJDK-Migrationsdokument Hinweis 2: Tomcat-Versionsprüfung – siehe Abschnitt „Tomcat-Versionsprüfung auf ICM-Servern“ unten |
|||
| CTIOS | Nicht betroffen | Nicht betroffen | Nicht betroffen | Nicht betroffen | |
|
Anwendung |
Fehler-ID |
11.6(1) |
12.0(1) |
12.5(1) |
12.6(1) |
| CVP | CSCwa47275 | ||||
| VVB | CSCwa47397 |
Nicht betroffen | Nicht betroffen |
* Verwenden Sie den am 29. Dezember 2021 veröffentlichten Patch. |
|
| Call Studio | CSCwa54008 |
||||
| Finesse | CSCwa46459 |
Nicht betroffen | Nicht betroffen | Nicht betroffen | |
| CUIC | CSCwa46525 |
Nicht betroffen | Nicht betroffen | Nicht betroffen | |
| Live Data (LD) | CSCwa46810 | ||||
| IDS | Nicht betroffen | Nicht betroffen | Nicht betroffen | Nicht betroffen | |
| CUIC Co-res (CUIC-LD-IDS) | CSCwa46810 | ||||
| CloudConnect | CSCwa51545 | Nicht betroffen | |||
| ECE | CSCwa47392 | Nicht betroffen | |||
| CCMP | CSCwa47383 | Nicht betroffen | Nicht betroffen | ||
| CCDM | CSCwa47383 | Nicht betroffen | Nicht betroffen | ||
| Google CCAI |
Google hat bestätigt, dass der CCAI-Funktionssatz nicht betroffen ist. | ||||
| Webex Experience Management (WxM) | Da Log4j bei WxM nicht verwendet wird, ist die Lösung nicht betroffen. | ||||
| Customer Collaboration Platform (CCP) | CSCwa47384 |
Nicht betroffen | Nicht betroffen | Nicht betroffen | Nicht betroffen |
* Die Veröffentlichungsdaten können sich ändern und werden bis zur Veröffentlichung des Patchs bei Bedarf aktualisiert.
Tomcat-Versionsprüfung auf ICM-Servern
1. Auf ICM-Servern, d. h. Routern, Loggern, PG- und AW-Servern, überprüfen Sie die installierte Version von tomcat, indem Sie die Datei "<ICM HOME>\tomcat\bin\version.bat" ausführen.
2. Wenn die Tomcat-Version 9.0.37 oder höher ist, führen Sie diese Schritte aus, um den Fehler "CSCvv73307" zu beheben.
3. Installieren Sie den Patch ES_81 auf dem Server. Wenn auf dem ICM-Server ES-Versionen höher als 81 vorhanden sind, müssen Sie diese zuerst deinstallieren.
- Patch 12.5(1)_ES81: https://software.cisco.com/download/specialrelease/0aab225ecde522734cc6c6491ad1eb42
- ReadMe 12.5(1)_ES81: https://www.cisco.com/web/software/280840583/158250/Release_Document_1.html
4. Bestätigen Sie nach erfolgreicher Installation von ES_81 erneut die Tomcat-Version, indem Sie die BAT-Datei "<ICM HOME>\tomcat\bin\version.bat"
5. Tomcat-Version sollte die gleiche wie Schritt 1 bleiben, Wenn das gleiche mit der geordneten Neuinstallation aller gewünschten ES's bis einschließlich log4j Patch, d.h. ES_101 fortfahren
Häufig gestellte Fragen
F.1 Wie oft wird das Dokument mit den neuesten Informationen überarbeitet?
Antwort: Das Dokument wird täglich überprüft und am Morgen aktualisiert (US-Stunden)
Frage 2: Sind die ICM-Versionen (Router, Protokollierung, AW, PG) 10.x, 11.0(x), 11.5(x) und 11.6(1) betroffen?
Antwort: Diese Versionen sind nicht betroffen, da sie Version 1.x von Log4j verwenden.
Frage 3: Wann werden die Patches veröffentlicht?
Antwort: In der Empfehlungstabelle sind die voraussichtlichen Daten für die Veröffentlichung der Patches aufgeführt. Die Tabelle wird mit den zugehörigen Links aktualisiert, sobald diese verfügbar sind.
Frage 4: Welche Problemumgehung kann implementiert werden, bis der Fix bereit ist?
Antwort: Es wird empfohlen, die PSIRT-Empfehlung zu befolgen und sicherzustellen, dass Patches so bald wie möglich angewendet werden, nachdem sie für die betroffenen Versionen veröffentlicht wurden.
Q.5 CUIC Standalone 11.6(1) ist von log4j nicht betroffen. In der Readme-Datei von ES wird jedoch ein erforderliches Patch auf dem Server angegeben - warum?
Antwort: Diese ES-Version ist keine eigenständige ES-Version, die nur den Fix für Log4j enthält. ES23 ist wie bei anderen VOS-Produkten kumulativ. Kunden steht immer nur eine einzige aktuelle kumulative ES-Version zur Verfügung. Stellen Sie sich dieses Szenario vor: Cu ist in Standalone CUIC 11.6 ES21 (oder früher) enthalten und erfordert die CUIC-Fehlerbehebungen aus ES22. In diesem Fall muss ES23 dennoch installiert werden (da ES kumulativ sind und für Kunden nur die neueste Version von ES verfügbar ist). Darüber hinaus wird dieser Log4j-Fehler in der Readme-Datei zu ES als LD-Fehler aufgeführt. Während der ES-Installation werden je nach Bereitstellung Fehlerbehebungen installiert (d. h. es wird geprüft, ob - Standalone CUIC/Co-res CUIC/LD vor der ES-Installation und entsprechende Fehlerbehebungen durchgeführt werden).
Frage 6: Welche Maßnahmen sollte ich ergreifen, wenn der Sicherheitsscanner meines Unternehmens (z. B. Qualys) CVE-2021-45105 feststellt, nachdem ich mein UCCE-Produkt gepatcht habe?
Antwort: Es sind keine Maßnahmen erforderlich, da Cisco CVE-2021-45105 geprüft und festgestellt hat, dass keine Cisco Produkte oder Cloud-Angebote von dieser Schwachstelle betroffen sind. Diese Informationen wurden auch in der Empfehlung hervorgehoben. Log4j Version 2.16.0 ist nur dann DDoS-anfällig, wenn eine nicht standardmäßige Konfiguration vorliegt. Angreifer müssten die Log4j-Konfigurationsdatei manuell ändern, was bei UCCE-Produkten nicht möglich ist. Daher ist CVE-2021-45105 hier nicht anwendbar.
Q7. Was mache ich, wenn ich ältere Log4j ".jar" Dateien auf meinem System sehe, wie z.B. 1.2x Dateien?
Antwort: Es wird empfohlen, die alten Dateien beizubehalten, damit der Rollback-Prozess nicht unterbrochen wird. Wenn eine inaktive Version dieser Dateien auf dem System vorhanden ist, ist die Komponente nicht anfällig.
Wenn das Unternehmen jedoch vorschreibt, dass die Dateien entfernt werden müssen, wird dringend empfohlen, den gewünschten Prozess in einer Lab-Umgebung zu testen, bevor die Schritte in der Produktion implementiert werden, um die Auswirkungen zu minimieren. Es wird auch empfohlen, einen Backup- und Rollback-Plan zur Hand zu haben, um das System wiederherstellen zu können, falls es zu Problemen kommt.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
21.0 |
14-Jan-2022
|
Revision 20.0 |
20.0 |
06-Jan-2022
|
Revision 19.0 |
19.0 |
03-Jan-2022
|
Revision 18.0 |
18.0 |
29-Dec-2021
|
Revision 17.0 |
17.0 |
29-Dec-2021
|
Revision 15.0 |
16.0 |
26-Dec-2021
|
Revision 14.0 |
15.0 |
25-Dec-2021
|
Revision 13.0 |
14.0 |
24-Dec-2021
|
Revision 12.0 |
13.0 |
23-Dec-2021
|
Revision 11.0 |
12.0 |
23-Dec-2021
|
Revision 10.0 |
11.0 |
22-Dec-2021
|
Version 9.0 |
10.0 |
22-Dec-2021
|
Version 8.0 |
9.0 |
20-Dec-2021
|
Version 7.0 |
7.0 |
19-Dec-2021
|
Version 6.0 |
6.0 |
17-Dec-2021
|
Version 5.0 |
5.0 |
17-Dec-2021
|
Version 4.0 |
4.0 |
17-Dec-2021
|
Version 3.0 |
3.0 |
16-Dec-2021
|
Version 2.0 |
1.0 |
14-Dec-2021
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)