9 декабря была опубликована уязвимость CVE 2021-44228 для log4j — широко используемой библиотеки логирования на Java. Позднее были опубликованы также CVE-2021-45046 и CVE-2021-45105. Мы получили множество вопросов об этих уязвимостях и о том, затрагивают ли они Discourse.
Discourse — это приложение на Ruby, поэтому оно не использует эту библиотеку Java. Кроме того, наши стандартные инструкции по установке для самостоятельного развёртывания не включают никаких компонентов Java.
Управляемый хостинг discourse.org
В рамках нашего сервиса управляемого хостинга discourse.org мы используем несколько приложений на базе Java, включая Jenkins, Elasticsearch, Logstash и Kibana. Как только мы узнали об уязвимости, мы проверили все эти компоненты на соответствие рекомендациям их разработчиков.
После получения сообщения мы провели полную оценку безопасности:
- Аудит текущего работающего программного обеспечения, которое может быть затронуто уязвимостью log4j
- Анализ потенциального воздействия уязвимости
- Анализ логов
Наши версии Jenkins, Elasticsearch и Kibana не были затронуты уязвимостью. Наша версия Logstash могла быть уязвима к атакам типа «отказ в обслуживании» при определённых условиях, но не была уязвима к широко освещаемой уязвимости удалённого выполнения кода.
Все эти компоненты были обновлены до последних версий и теперь работают с последней версией Log4j (2.17). Для получения дополнительной информации вы можете ознакомиться с рекомендациями по безопасности от Elastic и статьёй от Jenkins.
Информация быстро обновляется. Мы следим за новостями и при необходимости предоставим дополнительную информацию.
Мы также проверили состояние исправления уязвимости log4j у наших ключевых поставщиков. Ниже приведены некоторые публичные уведомления от наших поставщиков:
- Stripe — Обновление об уязвимости Apache Log4j
- Google Cloud — Уязвимость Apache Log4j 2
- AWS — Обновление об уязвимости Apache Log4j2
Некоторые поставщики были уведомлены в частном порядке.