Le 9 décembre, CVE 2021-44228 a été publié pour log4j, une bibliothèque de journalisation Java couramment utilisée. Par la suite, CVE-2021-45046 et CVE-2021-45105 ont également été publiés. Nous avons reçu un certain nombre de questions concernant ces vulnérabilités et leur impact sur Discourse.
Discourse est une application Ruby et, par conséquent, n’utilise pas cette bibliothèque Java. De plus, nos instructions d’installation standard pour les installations auto-hébergées n’incluent aucun composant Java.
Hébergement géré discourse.org
Dans le cadre de notre service d’hébergement géré discourse.org, nous utilisons une poignée d’applications basées sur Java, notamment Jenkins, Elasticsearch, Logstash et Kibana. Dès que nous avons pris connaissance de la vulnérabilité, nous avons vérifié tous ces composants par rapport aux avis de leurs développeurs.
Nous avons mené une évaluation complète de la sécurité suite au rapport.
- Audit du logiciel en cours d’exécution actuel susceptible d’être affecté par la vulnérabilité log4j
- Audit de l’impact d’une faille potentielle
- Analyse des logs
Nos versions de Jenkins, Elasticsearch et Kibana n’ont pas été affectées par la vulnérabilité. Notre version de Logstash aurait pu être vulnérable aux attaques par déni de service dans des conditions spécifiques, mais n’était pas vulnérable à la vulnérabilité d’exécution de code à distance largement médiatisée.
Tous ces composants ont été mis à jour vers leurs dernières versions et exécutent désormais la dernière version de Log4j (2.17). Pour plus d’informations, vous pouvez consulter l’avis de sécurité d’Elastic et l’article de blog de Jenkins.
Les informations évoluent rapidement. Nous suivons l’actualité et fournirons des mises à jour supplémentaires si nécessaire.
Nous avons également validé l’état de la remédiation de log4j chez nos fournisseurs sensibles. Voici quelques-unes des notifications publiques faites par nos fournisseurs.
- Stripe - Mise à jour pour la vulnérabilité Apache Log4j
- Google Cloud - Vulnérabilité Apache Log4j 2
- AWS - Mise à jour pour le problème Apache Log4j2
Certains fournisseurs ont été contactés en privé.