En respuesta a la vulnerabilidad etiquetada como CVE-2021-44228, conocida como «Log4Shell», desde Artica PFMS confirmamos que Pandora FMS no utiliza este componente de registro de Apache y por lo tanto no se ve afectado .
Descubierta por el equipo de seguridad de Alibaba, el problema se refiere a un caso de ejecución remota de código no autenticado (RCE) en cualquier aplicación que use esta utilidad de código abierto y afecte a las versiones no parcheadas, de Apache Log4j 2.0-beta9 hasta la 2.14. 1.
Es cierto que si lo usáramos nos veríamos comprometidos, pero afortunadamente es una dependencia que no es necesaria para el funcionamiento de nuestro producto.
A su vez, también debemos afirmar que el componente de Elasticsearch para la funcionalidad de recolección de logs está potencialmente afectado por CVE-2021-44228.
Solución recomendada
Existe, sin embargo, una solución recomendada por los desarrolladores de Elasticsearch:
1) Usted puede actualizar a un JDK posterior a 8 para lograr al menos una mitigación parcial.
2) Siga las instrucciones sobre Elasticsearch del desarrollador y actualice a Elasticsearch 6.8.21. o 7.16.1 superior.
Solución adicional
En el caso de que no pueda actualizar de versión, aquí le mostramos un método adicional para solucionar el mismo problema:
- Deshabilite formatMessageLookup de la siguiente manera:
- Detenga el servicio Elasticsearch .
- Agregue -Dlog4j2.formatMsgNoLookups = true a la parte /etc/elasticsearch/jvm.options
- Vuelva a iniciar el servicio Elasticsearch .
Ante cualquier otra eventualidad les mantendremos informados.
El equipo de redacción de Pandora FMS está formado por un conjunto de escritores y profesionales de las TI con una cosa en común: su pasión por la monitorización de sistemas informáticos. Pandora FMS’s editorial team is made up of a group of writers and IT professionals with one thing in common: their passion for computer system monitoring.
