Discourse y la vulnerabilidad de Log4j

El 9 de diciembre, se publicó CVE 2021-44228 para log4j, una biblioteca de registro de Java de uso común. Posteriormente, también se publicaron CVE-2021-45046 y CVE-2021-45105. Hemos recibido varias preguntas sobre estas vulnerabilidades y si afectan a Discourse.

Discourse es una aplicación Ruby y, por lo tanto, no utiliza esta biblioteca Java. Además, nuestras instrucciones de instalación estándar para instalaciones autohospedadas no incluyen ningún componente Java.

Alojamiento gestionado de discourse.org

Como parte de nuestro servicio de alojamiento gestionado de discourse.org, utilizamos un puñado de aplicaciones basadas en Java, como Jenkins, Elasticsearch, Logstash y Kibana. Tan pronto como nos enteramos de la vulnerabilidad, comprobamos todos esos componentes con los avisos de sus desarrolladores.

Realizamos una evaluación de seguridad completa tras el informe.

• Auditoría del software en ejecución actual que puede verse afectado por la vulnerabilidad de log4j
• Auditoría del impacto de una posible falla
• Análisis de registros

Nuestras versiones de Jenkins, Elasticsearch y Kibana no se vieron afectadas por la vulnerabilidad. Nuestra versión de Logstash podría haber sido vulnerable a ataques de Denegación de Servicio bajo condiciones específicas, pero no era vulnerable a la vulnerabilidad de Ejecución Remota de Código ampliamente informada.

Todos estos componentes se han actualizado a sus últimas versiones y ahora ejecutan la última versión de Log4j (2.17). Para obtener más información, puede leer el aviso de seguridad de Elastic y la publicación del blog de Jenkins.

La información evoluciona rápidamente. Estamos siguiendo las noticias y actualizaremos más si se considera necesario.

También validamos el estado de la remediación de log4j en nuestros proveedores sensibles. Aquí hay algunos de los avisos públicos que hicieron nuestros proveedores.

• Stripe - Actualización para la vulnerabilidad de Apache Log4j
• Google Cloud - Vulnerabilidad de Apache Log4j 2
• AWS - Actualización para el problema de Apache Log4j2

Se contactó a algunos proveedores de forma privada.

Tenga en cuenta que, por alguna razón, este tema desapareció del índice de Google. Estoy haciendo una prueba rápida aquí para ver si agregar una respuesta hace que se rastree y se agregue al índice.