Liebe Kunden,
wie Sie wahrscheinlich bereits wissen, wurde eine Sicherheitslücke in der von Apache verwendeten Logging-Komponente Log4j 2 gefunden:
Nach aktuellem Kenntnisstand sind Ihre Tableau Software Produkte hiervon betroffen. Insbesondere Tableau Server nutzt diese Komponente für die Erzeugung von Logdateien.
Bei Tableau bzw. Salesforce wird das Problem aktuell mit höchster Priorität untersucht und es wurden vorübergehend alle Produkt-Downloads (auch Tableau Desktop) von der Tableau-Website entfernt.
Was ist jetzt zu tun?
Punkt 1: Unseren Kunden, die den Tableau Server im Internet erreichbar haben, empfehlen wir aktuell den externen Zugriff auf Tableau zu unterbinden und ggf. lediglich aus dem lokalen Netz erreichbar zu machen. In besonders sicherheitskritischen fällen kann Tabelau Server heruntergefahren werden, um ein Angriffsrisiko vollständig auszuschließen.
Punkt 2: Wir empfehlen, Ihr Netzwerk intensiver zu überwachen. Ihr Server könnte verwundbar sein bzw. bereits betroffen sein. Daher empfiehlt es sich regelmäßig das System zu scannen und die Logs zu sichten, um ggf. eingeschleusten Code zu identifizieren.
Punkt 3: Auch unseren Kunden, die den Tableau Server lediglich in einem lokalen Netz (d.h. nicht im Internet erreichbar) betreiben, empfehlen wir das Netzwerk zu überwachen.
Punkt 4: Die Produkte Tableau Desktop und Tableau Prep sowie Tableau Reader sind ebenfalls von dieser Schwachstelle betroffen, da für diese Tools die folgenden beiden Java-Pakete in Zusammenhang mit der Log4j Komponente genutzt werden:
jdbcserver.jar
oauthservice.jar
Das Risiko für die Client-Umgebungen ist unserer Meinung überschaubar, da die Clients in der Regel kein dauerhaftes Ziel sind. Nichtsdestotrotz sollte Tableau Desktop bzw. Tableau Prep nur in einer geschützten Umgebung ausgeführt werden und ebenfalls wie der Tableau Server lediglich im Unternehmensnetz mit sensiblen Informationen verwendet werden.
Punkt 5: Aktuell können wir noch keine Methode empfehlen, die die Schwachstelle zumindest temporär behebt oder unbrauchbar macht. Sobald uns eine gesicherte Methode bekannt ist, informieren wir Sie.
Wir empfehlen Ihnen darüber hinaus den Status bei Tableau/Salesforce regelmäßig zu prüfen:
Ihr M2 Team
Telefon: +49 (0)30 20 89 87 010
info@m2dot.com · M2@Facebook · M2@Twitter · M2@LinkedIn · M2@Instagram