En réponse à la vulnérabilité étiquetée comme CVE-2021-44228, connu sous le nom de “Log4Shell”, nous confirmons que Pandora FMS n’utilise pas ce composant de journal Apache et donc il n’est pas affecté.

Découvert par l’équipe de sécurité d’Alibaba, le problème fait référence à un cas d’exécution à distance de code non authentifié (RCE) dans toute application qui utilise cet utilitaire open source et affecte les versions non corrigées, Apache Log4j 2.0-beta9 jusqu’à 2.14. 1.

Il est vrai que si nous l’utilisions nous serions compromis, mais heureusement c’est une dépendance qui n’est pas nécessaire au fonctionnement de notre produit.

À son tour, nous devons également indiquer que le composant Elasticsearch pour la fonctionnalité de collecte de journaux est potentiellement affecté par CVE-2021-44228.

Solution recommandée

Il existe cependant une solution recommandée par les développeurs d’Elasticsearch :

1) Vous pouvez mettre à jour vers un JDK postérieur que 8 pour obtenir une atténuation au moins partielle. 

2) Suivez les instructions Elasticsearch du développeur et mettez à jour vers Elasticsearch 6.8.21 ou 7,16,1 supérieur.

Solution supplémentaire

Au cas où vous en auriez besoin, nous vous montrons ici une méthode supplémentaire pour résoudre le même problème :

  • Désactivez formatMessageLookup comme suit :
  1. Arrêtez le service Elasticsearch.
  2. Ajoutez -Dlog4j2.formatMsgNoLookups = true to the log4j part of /etc/elasticsearch/jvm.options
  3. Redémarrez le service Elasticsearch.

En cas de toute autre éventualité, nous vous tiendrons informés.

Shares