Czy podatności CVE-2021-44228 – ESA-2021-31 (CVE-2021-45046) dotyczące Apache Log4j dotyczą systemów OTOBO i OTRS? Przeanalizowaliśmy sytuację związaną z wyżej wymienonymi systemami i wnioski są nastepujące.
OTRS
System ((OTRS)) Community Edition jest całkowicie wolny od wspomnianych podatności.
OTOBO
Instancja w kontenerze Docker
System OTOBO z aktywnym wyszukiwaniem Elasticsearch, wdrożony jako kontener Docker jest całkowicie wolny od wspomnianych podatności.
Instancja zainstalowana natywnie
System OTOBO z aktywnym wyszukiwaniem Elasticsearch, wdrożony natywnie może być podatny, ale w bardzo wąskim wymiarze: wyciek informacji poprzez DNS. Aby mieć 100% pewności, że system jest w pełni bezpieczny, należy:
- upewnić się, że zainstalowany jest JDK w wersji wyższej niż 8
- jeśli wersja JDK to 8, należy wprowadzić następujące ustawienie JVM:
Dlog4j2.formatMsgNoLookups=true - do czasu wydania patcha, wyłączyć Elasticsearch w Konfiguracji Systemu