في 9 ديسمبر، تم نشر CVE 2021-44228 لـ log4j، وهي مكتبة تسجيل Java شائعة الاستخدام. لاحقًا، تم أيضًا نشر CVE-2021-45046 و CVE-2021-45105. لقد تلقينا عددًا من الأسئلة حول هذه الثغرات الأمنية، وما إذا كانت تؤثر على Discourse.
Discourse هو تطبيق Ruby، وبالتالي لا يستخدم مكتبة Java هذه على الإطلاق. بالإضافة إلى ذلك، فإن تعليمات التثبيت القياسية لدينا للتثبيتات المستضافة ذاتيًا لا تتضمن أي مكونات Java.
استضافة Discourse المُدارة discourse.org
كجزء من خدمة الاستضافة المُدارة discourse.org، نستخدم عددًا قليلًا من التطبيقات المستندة إلى Java بما في ذلك Jenkins و Elasticsearch و Logstash و Kibana. بمجرد أن أصبحنا على دراية بالثغرة الأمنية، قمنا بفحص جميع هذه المكونات مقابل الإشعارات الصادرة عن مطوريها.
لقد أجرينا تقييمًا أمنيًا كاملاً بعد التقرير.
- تدقيق للبرامج الحالية قيد التشغيل التي قد تتأثر بثغرة log4j الأمنية
- تدقيق لتأثير العيب المحتمل
- تحليل السجلات
لم تتأثر إصداراتنا من Jenkins و Elasticsearch و Kibana بالثغرة الأمنية. قد يكون إصدارنا من Logstash عرضة لهجمات الحرمان من الخدمة (Denial of Service) في ظل ظروف معينة، ولكنه لم يكن عرضة لثغرة تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution) التي تم الإبلاغ عنها على نطاق واسع.
تم تحديث جميع هذه المكونات إلى أحدث إصداراتها وهي تعمل الآن بأحدث إصدار من Log4j (2.17). لمزيد من المعلومات، يمكنك قراءة الإشعار الأمني من Elastic، ومنشور المدونة من Jenkins.
المعلومات تتطور بسرعة. نحن نتابع الأخبار وسنقوم بالتحديثات الإضافية إذا لزم الأمر.
لقد تحققنا أيضًا من حالة معالجة log4j لدى الموردين الحساسين لدينا. إليك بعض الإشعارات العامة التي أصدرها الموردون لدينا.
- Stripe - تحديث لثغرة Apache Log4j الأمنية
- Google Cloud - ثغرة Apache Log4j 2 الأمنية
- AWS - تحديث لمشكلة Apache Log4j2
تم الاتصال ببعض الموردين بشكل خاص.