Anuncio sobre vulnerabilidad CVE-2021-45046

En esta nota, se detallan las acciones tomadas por Athento respecto a la vulnerabilidad de log4j.

Resumen

La mayor parte de los entornos que Athento ofrece, no han sido afectados por esta vulnerabilidad.

Dado que sólo las instancias con la última versión de Elastic han sido afectadas, Athento seguirá las recomendaciones dadas por Elastic en https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 

Contexto

El día 9 de diciembre, se publica la vulnerabilidad de Log4Shell que afecta a las versiones de Log4j 2.0 a 2.14

El anuncio en la web de Log4j es: https://logging.apache.org/log4j/2.x/index.html

Otras referencias

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

https://community.zammad.org/t/cve-2021-44228-elasticsearch-users-be-aware/8256 

https://xeraa.net/blog/2021_mitigate-log4j2-log4shell-elasticsearch/ 

Análisis

A continuación se detallan los productos del stack de Athento y si están impactados por la vulnerabilidad.

Mitigación

Según la documentación de Elasticsearch (https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476), la versión 7 debería controlar la ejecución remota de código con el Security Manager, aunque de todas formas se realiza la siguiente configuración de salvaguarda:

/etc/elasticsearch/jvm.options.d/jvm.options:
# Log4j
-Dlog4j2.formatMsgNoLookups=true

Además, se añade la variable de entorno al profile general del OS editando el archivo /etc/profile y añadiendo:

export LOG4J_FORMAT_MSG_NO_LOOKUPS=true

Adicionalmente, para versiones anteriores a la 2.0, como medida de precaución, se ha eliminado la clase JMSAppender.

Solución

Entre el 20 de diciembre y el 20 de enero, se llevará a acabo la actualización de las versiones de Elastic 2.