Anuncio sobre vulnerabilidad CVE-2021-45046 – Athento

En esta nota, se detallan las acciones tomadas por Athento respecto a la vulnerabilidad de log4j.

Resumen

La mayor parte de los entornos que Athento ofrece, no han sido afectados por esta vulnerabilidad.

Dado que sólo las instancias con la última versión de Elastic han sido afectadas, Athento seguirá las recomendaciones dadas por Elastic en https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

El día 9 de diciembre, se publica la vulnerabilidad de Log4Shell que afecta a las versiones de Log4j 2.0 a 2.14

Screenshot_2021-12-17_at_18.27.59.png

Screenshot_2021-12-17_at_18.28.08.png

A continuación se detallan los productos del stack de Athento y si están impactados por la vulnerabilidad.

Producto	Impacto	Comentarios
Athento SE	Sin impacto	No es Java
Athento ECM	Sin impacto	Usa versiones de Log4j anteriores a la 2
Elastic 1	Sin impacto	Usa versiones de Log4j anteriores a la 2. En desuso.
Elastic 2	Impactado	Sólo en ciertos entornos.

Según la documentación de Elasticsearch (https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476), la versión 7 debería controlar la ejecución remota de código con el Security Manager, aunque de todas formas se realiza la siguiente configuración de salvaguarda:

/etc/elasticsearch/jvm.options.d/jvm.options:
# Log4j
-Dlog4j2.formatMsgNoLookups=true

Además, se añade la variable de entorno al profile general del OS editando el archivo /etc/profile y añadiendo:

export LOG4J_FORMAT_MSG_NO_LOOKUPS=true

Adicionalmente, para versiones anteriores a la 2.0, como medida de precaución, se ha eliminado la clase JMSAppender.

Entre el 20 de diciembre y el 20 de enero, se llevará a acabo la actualización de las versiones de Elastic 2.