Em 9 de dezembro, a CVE 2021-44228 foi publicada para o log4j, uma biblioteca de registro Java comumente usada. Subsequentemente, CVE-2021-45046 e CVE-2021-45105 também foram publicadas. Recebemos várias perguntas sobre essas vulnerabilidades e se elas afetam o Discourse.
O Discourse é uma aplicação Ruby e, portanto, não faz uso desta biblioteca Java. Além disso, nossas instruções de instalação padrão para instalações auto-hospedadas não incluem nenhum componente Java.
Hospedagem gerenciada discourse.org
Como parte de nosso serviço de hospedagem gerenciada discourse.org, usamos um punhado de aplicações baseadas em Java, incluindo Jenkins, Elasticsearch, Logstash e Kibana. Assim que tomamos conhecimento da vulnerabilidade, verificamos todos esses componentes em relação aos avisos de seus desenvolvedores.
Realizamos uma avaliação completa de segurança após o relatório.
- Auditoria do software em execução atual que pode ser impactado pela vulnerabilidade log4j
- Auditoria do impacto de uma falha potencial
- Análise de logs
Nossas versões de Jenkins, Elasticsearch e Kibana não foram afetadas pela vulnerabilidade. Nossa versão do Logstash pode ter sido vulnerável a ataques de Negação de Serviço sob condições específicas, mas não foi vulnerável à vulnerabilidade de Execução Remota de Código amplamente divulgada.
Todos esses componentes foram atualizados para suas versões mais recentes e agora estão executando a versão mais recente do Log4j (2.17). Para mais informações, você pode ler o aviso de segurança da Elastic e o post do blog do Jenkins.
As informações estão evoluindo rapidamente. Estamos acompanhando as notícias e atualizaremos mais se for considerado necessário.
Também validamos o estado da remediação do log4j em nossos fornecedores sensíveis. Aqui estão alguns dos avisos públicos que nossos fornecedores fizeram.
- Stripe - Atualização para a vulnerabilidade Apache Log4j
- Google Cloud - Vulnerabilidade Apache Log4j 2
- AWS - Atualização para o problema Apache Log4j2
Alguns fornecedores foram contatados privadamente.