Discord sunucumuza tüm üyelerimiz davetlidir! ✨
Türkçe:
Bugün, popüler Java günlük kaydı kitaplığı Log4j 2'de, saldırganların keyfi olarak kod yürütmesine (uzaktan kod yürütme) izin verebilecek bir güvenlik açığının keşfedildiği dikkatimizi çekti.Apache Log4j 2, Elasticsearch dahil olmak üzere birçok Java uygulamasıyla birlikte gelir ve kullanılır.
XenForo'nun kendisi doğrudan sömürülebilir değildir ve şu anda XenForo Enhanced Search'ün bir vektör olarak kullanılıp kullanılamayacağını araştırıyoruz, ancak bu potansiyel olarak yeterince önemlidir ve çok fazla dikkatli olunması mantıklıdır.
Güvenlik açığı hakkında daha fazla bilgiyi buradan edinebilirsiniz:
NVD - CVE-2021-44228
Bunun nasıl çözüleceğine ve etkilenip etkilenmediğinize ilişkin ayrıntılar şaşırtıcı derecede karmaşıktır ve Log4j kullanan başka bir yazılımınız varsa, geçici çözümler ve dikkate alınması gereken noktalar muhtemelen farklı olacaktır. Aşağıdakiler öncelikli olarak yalnızca çoğunlukla Elasticsearch ile ilgilidir.
Elasticsearch 6.4 ve üzeri için geçici çözüm
Dosya aracılığıyla Log4j'nin davranışını kontrol edebilirsiniz /etc/elasticsearch/jvm.options. Özellikle, mevcut öneri, bu dosyanın sonuna aşağıdaki satırı eklemektir:Kod:
-Dlog4j2.formatMsgNoLookups=true
Ardından, bu değişikliğin etkili olması için elasticsearch sunucu hizmetini yeniden başlatmak isteyeceksiniz.
Elasticsearch 5.0-6.3 sürümünü kullanıyorsanız lütfen güncelleyin
Elasticsearch 5.0-6.3 sürümünü kullanıyorsanız, bu, Log4j'nin daha eski bir sürümünü içerebilir; bu, yukarıdaki geçici çözümün işe yaramayacağı anlamına gelir. Daha yeni bir sürüme yükseltme, eski sürümlerin ihtiyaçlarını karşılamak için diğer geçici çözümlerden daha fazla tercih edilebilir. XenForo Enhanced Search, Elasticsearch'ün en son sürümlerini destekler.Sorunu tamamen azaltacak bir şey olmasa da, Java JDK'nın güncel olduğundan ve doğru şekilde yapılandırıldığından emin olmanızı da öneririz.
Lütfen bu konuyu e-posta bildirimleri etkinken izleyin. Daha fazla bilgimiz varsa, bu konudaki yeni gönderilere ekleyeceğiz.
English:
It has come to our attention today that a vulnerability has been discovered in popular Java logging library Log4j 2 which may allow attackers to arbitrarily execute code (remote code execution).
Apache Log4j 2 is bundled with and used in many Java applications including Elasticsearch.
XenForo itself is not directly exploitable, and we are currently investigating whether XenForo Enhanced Search can be used as a vector at all, but this is potentially significant enough that an abundance of caution is sensible.
You can read more about the vulnerability here:
NVD - CVE-2021-44228
The specifics of how to workaround this and whether you are affected are surprisingly complicated and if you have other software that uses Log4j the workarounds and considerations will likely be different. The following primarily pertains to Elasticsearch only for the most part.
Workaround for Elasticsearch 6.4 and above
You are able to control the behaviour of Log4j via the /etc/elasticsearch/jvm.options file. Notably, the current recommendation is to add the following line to the end of that file:Code:
-Dlog4j2.formatMsgNoLookups=true
You'll then want to restart the elasticsearch server service for that change to take effect.
If you are using Elasticsearch version 5.0-6.3 please upgrade
If you are using Elasticsearch version 5.0-6.3 this may include an older version of Log4j which means the above workaround will not work. Upgrading to a newer version is likely preferable than other workarounds to cater for the older versions. XenForo Enhanced Search supports the latest versions of Elasticsearch.While not something that will entirely mitigate the issue, we also recommend ensuring Java JDK is up-to-date and configured correctly.
Please watch this thread with email notifications enabled. If we have any further information we'll add it in new posts in this thread.