12 月 9 日,针对 log4j(一种常用的 Java 日志库)发布了 CVE 2021-44228。随后,还发布了 CVE-2021-45046 和 CVE-2021-45105。我们收到了许多关于这些漏洞以及它们是否影响 Discourse 的问题。
Discourse 是一个 Ruby 应用程序,因此不使用此 Java 库。此外,我们用于自托管安装的标准安装说明不包含任何 Java 组件。
托管 discourse.org
作为我们托管 discourse.org 服务的一部分,我们使用了一些基于 Java 的应用程序,包括 Jenkins、Elasticsearch、Logstash 和 Kibana。一旦我们意识到该漏洞,我们就根据开发人员的建议检查了所有这些组件。
我们进行了全面的安全评估,以响应此报告。
- 审计当前可能受 log4j 漏洞影响的运行软件
- 审计潜在缺陷的影响
- 日志分析
我们的 Jenkins、Elasticsearch 和 Kibana 版本未受该漏洞影响。我们的 Logstash 版本在特定条件下可能容易受到拒绝服务攻击,但不受广泛报道的远程代码执行漏洞的影响。
所有这些组件都已更新到最新版本,并且目前运行的是最新版本的 Log4j (2.17)。有关更多信息,您可以阅读 Elastic 的安全公告和 Jenkins 的博客文章。
信息正在快速发展。我们正在关注新闻,并在必要时进行进一步更新。
我们还验证了我们敏感供应商的 log4j 修复状态。以下是我们供应商发布的一些公开通知。
一些供应商已通过私下联系得到通知。