Discourse und die Log4j-Schwachstelle

Am 9. Dezember wurde CVE 2021-44228 für log4j, eine weit verbreitete Java-Logging-Bibliothek, veröffentlicht. Anschließend wurden auch CVE-2021-45046 und CVE-2021-45105 veröffentlicht. Wir haben eine Reihe von Fragen zu diesen Schwachstellen erhalten und ob sie Discourse betreffen.

Discourse ist eine Ruby-Anwendung und verwendet daher diese Java-Bibliothek überhaupt nicht. Darüber hinaus beinhalten unsere Standard-Installationsanweisungen für selbst gehostete Installationen keine Java-Komponenten.

Verwaltetes Hosting auf discourse.org

Als Teil unseres verwalteten Hosting-Services auf discourse.org verwenden wir eine Handvoll Java-basierter Anwendungen, darunter Jenkins, Elasticsearch, Logstash und Kibana. Sobald wir von der Schwachstelle erfuhren, haben wir alle diese Komponenten anhand der Ratschläge ihrer Entwickler überprüft.

Wir führten eine vollständige Sicherheitsbewertung nach dem Bericht durch.

• Überprüfung der aktuell laufenden Software, die von der log4j-Schwachstelle betroffen sein könnte
• Überprüfung der Auswirkungen eines potenziellen Fehlers
• Protokollanalyse

Unsere Versionen von Jenkins, Elasticsearch und Kibana waren von der Schwachstelle nicht betroffen. Unsere Version von Logstash war unter bestimmten Bedingungen möglicherweise anfällig für Denial-of-Service-Angriffe, war jedoch nicht anfällig für die weit verbreitete Remote Code Execution-Schwachstelle.

Alle diese Komponenten wurden auf ihre neuesten Versionen aktualisiert und verwenden jetzt die neueste Version von Log4j (2.17). Weitere Informationen finden Sie in der Sicherheitsmitteilung von Elastic und im Blogbeitrag von Jenkins.

Die Informationen entwickeln sich schnell. Wir verfolgen die Nachrichten und werden weitere Updates bereitstellen, falls dies als notwendig erachtet wird.

Wir haben auch den Status der log4j-Behebung bei unseren sensiblen Anbietern validiert. Hier sind einige der öffentlichen Mitteilungen unserer Anbieter.

• Stripe - Update für Apache Log4j-Schwachstelle
• Google Cloud - Apache Log4j 2-Schwachstelle
• AWS - Update für Apache Log4j2-Problem

Einige Anbieter wurden privat kontaktiert.

Hinweis: Aus irgendeinem Grund ist dieses Thema aus dem Google-Index gefallen. Ich mache hier einen schnellen Test, um zu sehen, ob das Hinzufügen einer Antwort dazu führt, dass es gecrawlt und in den Index aufgenommen wird.