En réponse à la vulnérabilité étiquetée comme CVE-2021-44228, connu sous le nom de « Log4Shell », nous confirmons que Pandora FMS n’utilise pas ce composant de journal Apache et donc il n’est pas affecté.
Découvert par l’équipe de sécurité d’Alibaba, le problème fait référence à un cas d’exécution à distance de code non authentifié (RCE) dans toute application qui utilise cet utilitaire open source et affecte les versions non corrigées, Apache Log4j 2.0-beta9 jusqu’à 2.14. 1.
Il est vrai que si nous l’utilisions nous serions compromis, mais heureusement c’est une dépendance qui n’est pas nécessaire au fonctionnement de notre produit.
À son tour, nous devons également indiquer que le composant Elasticsearch pour la fonctionnalité de collecte de journaux est potentiellement affecté par CVE-2021-44228.
Solution recommandée
Il existe cependant une solution recommandée par les développeurs d’Elasticsearch :
1) Vous pouvez mettre à jour vers un JDK postérieur que 8 pour obtenir une atténuation au moins partielle.
2) Suivez les instructions Elasticsearch du développeur et mettez à jour vers Elasticsearch 6.8.21 ou 7,16,1 supérieur.
Solution supplémentaire
Au cas où vous en auriez besoin, nous vous montrons ici une méthode supplémentaire pour résoudre le même problème :
- Désactivez formatMessageLookup comme suit :
- Arrêtez le service Elasticsearch.
- Ajoutez -Dlog4j2.formatMsgNoLookups = true to the log4j part of /etc/elasticsearch/jvm.options
- Redémarrez le service Elasticsearch.
En cas de toute autre éventualité, nous vous tiendrons informés.
El equipo de redacción de Pandora FMS está formado por un conjunto de escritores y profesionales de las TI con una cosa en común: su pasión por la monitorización de sistemas informáticos.
Pandora FMS’s editorial team is made up of a group of writers and IT professionals with one thing in common: their passion for computer system monitoring.
