Comment fonctionne la CVE-2021-44228 ?

Log4J est une librairie Java utilisé dans des logiciels comme le serveur web Apache ou le moteur de recherche et d’analyse ElasticSearch.

Log4J permet, lors de l’écriture d’une entrée dans les journaux :

• D’effectuer des opérations complémentaires, afin de récupérer des valeurs issues de sources complémentaires
• De faire des appels à des systèmes tiers, avec des protocoles comme LDAP (système d’annuaire) via JNDI

La vulnérabilité CVE-2021-44228 / Log4Shell consiste à injecter sur un logiciel vulnérable une charge malveillante, qui va demander à Log4J d’aller chercher une valeur issue d’une source tierce, avec JNDI, et via le protocole LDAP.

Or, dans ce cas, Log4J ne vérifie pas assez bien les données importées. Les données importées peuvent alors être du code, qui sera exécuté par Log4J sur le système.

La solution Olfeo est-elle vulnérable ?

Olfeo utilise ElasticSearch, de ce fait elle utilise aussi Log4J.

Cependant ElasticSearch journalise uniquement l’état du cluster (démarrage, paramètres de démarrage et arrêt).

Les entrées de l’utilisateur ne sont pas envoyées à Log4J c’est pourquoi Olfeo n’est pas vulnérable face à cette faille. D’autant plus que ce service n’est pas accessible depuis l’extérieur.

Que faire si je souhaite tout de même empêcher Log4J de résoudre ces requêtes ?

Il est possible d’empêcher Log4J de consulter JNDI en rajoutant cette ligne au fichier /etc/elasticsearch/jvm.options une fois dans le chroot :

-Dlog4j2.formatMsgNoLookups=true

Puis en redémarrant le service ElasticSearch (toujours dans le chroot) : service elasticsearch restart