En réponse à la vulnérabilité étiquetée comme CVE-2021-44228, connu sous le nom de « Log4Shell », nous confirmons que Pandora FMS n’utilise pas ce composant de journal Apache et donc il n’est pas affecté.

Découvert par l’équipe de sécurité d’Alibaba, le problème fait référence à un cas d’exécution à distance de code non authentifié (RCE) dans toute application qui utilise cet utilitaire open source et affecte les versions non corrigées, Apache Log4j 2.0-beta9 jusqu’à 2.14. 1.

Il est vrai que si nous l’utilisions nous serions compromis, mais heureusement c’est une dépendance qui n’est pas nécessaire au fonctionnement de notre produit.

À son tour, nous devons également indiquer que le composant Elasticsearch pour la fonctionnalité de collecte de journaux est potentiellement affecté par CVE-2021-44228.

Solution recommandée

Il existe cependant une solution recommandée par les développeurs d’Elasticsearch :

1) Vous pouvez mettre à jour vers un JDK postérieur que 8 pour obtenir une atténuation au moins partielle. 

2) Suivez les instructions Elasticsearch du développeur et mettez à jour vers Elasticsearch 6.8.21 ou 7,16,1 supérieur.

Solution supplémentaire

Au cas où vous en auriez besoin, nous vous montrons ici une méthode supplémentaire pour résoudre le même problème :

  • Désactivez formatMessageLookup comme suit :
  1. Arrêtez le service Elasticsearch.
  2. Ajoutez -Dlog4j2.formatMsgNoLookups = true to the log4j part of /etc/elasticsearch/jvm.options
  3. Redémarrez le service Elasticsearch.

En cas de toute autre éventualité, nous vous tiendrons informés.

Shares