Um exploit crítico de dia zero, conhecido como Log4Shell, que afeta o Utilitário Apache Log4j (CVE-2021-44228) foi tornado público em 9 de dezembro de 2021. Assim que o Couchbase tomou conhecimento desse problema, nós o investigamos imediatamente com nossas equipes de produto e segurança e tomamos medidas para proteger nossos clientes.
Há dois produtos Couchbase que são afetados por esse problema no momento.
- Couchbase Server Enterprise Edition, ao executar o serviço Couchbase Analytics, versões 6.0.0 a 6.6.3 e versões 7.0.0 a 7.0.2.
- Couchbase Elasticsearch Connector, versões anteriores a 4.2.13 e 4.3.3.
O Couchbase Server Community Edition não é afetado por essa vulnerabilidade, pois esse produto não contém o serviço Couchbase Analytics.
O Couchbase Database-as-a-Service, Couchbase Capella, desativou temporariamente a capacidade de implantar o Analytics Service. Além disso, os clusters que executam o Analytics Service foram protegidos com um patch de segurança atualizado.
Não temos conhecimento de nenhum outro produto Couchbase que tenha sido afetado pelo problema CVE-2021-44228. Também observamos que não temos conhecimento de nenhum produto Couchbase afetado pelo Log4J adicional CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832 questões de segurança.
À medida que nossa investigação interna progride, podemos atualizar esta postagem com qualquer informação adicional relevante, conforme necessário. Incentivamos os assinantes do Couchbase Enterprise a revisar nossa publicação Artigo da base de conhecimento (é necessário fazer login) para obter as informações mais atualizadas.
Servidor Couchbase:
O Couchbase Server versão 6.6.4 e o Couchbase Server versão 7.0.3 com uma atualização de software que resolve essa vulnerabilidade foram disponibilizados hoje, 14 de dezembro de 2021.
Recomendamos a todos os clientes que utilizam o serviço Couchbase Analytics que atualizem seus clusters imediatamente. Visite nossa página de download em http://couchbase.com/downloads para fazer o download dessas novas versões. Os clusters do Couchbase Server que executam o Analytics Service e que são gerenciados pelo Couchbase Autonomous Operator também são afetados e devem atualizar para o Couchbase Server 6.6.4 ou 7.0.3, conforme apropriado, assim que possível.
Até que os clientes atualizem para as versões corrigidas do Couchbase Server, use a seguinte solução alternativa para reduzir o risco dessa vulnerabilidade:
Esse comando remove o JndiLookup de qualquer versão dos arquivos jar do log4j e protege contra essa exploração:
$ find /opt/couchbase/lib/cbas/repo -name 'log4j-core*.jar' -type f | xargs -I{} sh -c 'echo patching {}; zip -q -d {} org/apache/logging/log4j/core/lookup/JndiLookup.class'
Para validar que a classe JndiLookup não está presente e que o comando de remoção foi executado corretamente, você pode executar o seguinte comando:
$ find /opt/couchbase/lib/cbas/repo -name 'log4j-core*.jar' -type f | xargs -I{} unzip -l {} '*JndiLookup.class'
Arquivo: /opt/couchbase/lib/cbas/repo/log4j-core-2.14.1.jar
Comprimento Data Hora Nome
——— ———- —– —-
——— ——-
0 0 arquivos
Depois de aplicar o comando de remoção a cada nó do Analytics, o API de reinicialização do cluster deve ser usado para acionar a reinicialização de todos os nós do Analytics.
Os assinantes da Enterprise também são incentivados a analisar nossos Artigo da base de conhecimento para obter mais informações sobre essa solução alternativa.
Servidor Couchbase quando gerenciado pelo Operador Autônomo do Couchbase:
Até que uma versão de contêiner seja lançada com uma atualização para o Couchbase Server, em um ambiente de contêiner, a solução alternativa acima pode ser empregada com um conjunto diferente de etapas.
Copie o arquivo jar específico do nó para um sistema local e aplique a solução geral. No Red Hat OpenShift, os comandos são semelhantes. Por exemplo:
$ kubectl cp
cb-example-0000:/opt/couchbase/lib/cbas/repo/jars/log4j-core-2.14.1.jar /tmp/log4j-core-2.14.1.jar
$ unzip -l /tmp/log4j-core-2.14.1.jar | grep -i JndiL
2937 03-06-2021 22:12 org/apache/logging/log4j/core/lookup/JndiLookup.class
$ zip -q -d /tmp/log4j-core-2.14.1.jar org/apache/logging/log4j/core/lookup/JndiLookup.class .
$ unzip -l /tmp/log4j-core-2.14.1.jar | grep -i JndiL | wc -l
0
Em seguida, copie o arquivo JAR modificado de volta para o pod. Por exemplo:
$ kubectl cp /tmp/log4j-core-2.14.1.jar cb-example-0000:/opt/couchbase/lib/cbas/repo/jars/log4j-core-2.14.1.jar
E, por fim, reinicie os processos do Analytics relacionados ao Couchbase Server usando o comando API de reinicialização do cluster mencionado acima. Todos os novos pods criados por meio de alterações de configuração no recurso CouchbaseCluster ou todos os pods recriados no curso de operações normais precisarão ter a atenuação reaplicada.
Conector do Couchbase Elasticsearch:
Recomendamos que todos os clientes atualizem para as versões mais recentes do Couchbase Elasticsearch Connector, que é fornecido com uma correção para esse problema. As versões 4.2.13 e 4.3.3 já estão disponíveis. A versão Notas de versão fornecem detalhes adicionais e links para download. Caso você queira fazer a mitigação no local, o Artigo da base de conhecimento descreve como atualizar o arquivo JAR no local.
Se você tiver alguma dúvida, visite o site Fóruns da comunidade do Couchbase. Se você for um cliente do Couchbase Enterprise e tiver outras dúvidas, abra um caso de suporte.
