Updated on December 21st, 10:45 CET (see below) 

English version (see below for French)

Summary

A zero-day exploit for a vulnerability code-named Log4Shell (CVE-2021-44228) was publicly released on December 9th, 2021. A detailed description of the vulnerability can be found on the Apache Log4j Security Vulnerabilities page under the section “Fixed in Log4j 2.15.0”. 

The Centreon Security Group has conducted an initial assessment across the codebase to determine the impact of this vulnerability.  

Impact

Centreon components that might be affected are the ones including Java code:

• Centreon MAP server

• Centreon MBI server

• AS400 connector

No other component (including opensource) is affected.

No Centreon Cloud service is affected.

State of investigation

MAP server in all supported versions (20.10, 21.04, 21.10) uses log4j 2.13 which is affected by the vulnerability.

Whilst Centreon is testing workarounds and working on software updates, please make sure to review guidelines to secure the MAP installation.

MBI server in all supported versions (20.10, 21.04, 21.10) as well as AS400 connector use log4j 1.x which might be affected if used in certain modes.

Centreon is checking how those modes might affect MBI, whilst in parallel testing workarounds and working on software updates

Next steps

As soon as workarounds or fixes are available, Centreon will notify customers about remediation measures to take. 

This advisory will be updated as additional information becomes available. Please make sure to subscribe to updates.

---- UPDATE 12/13/2021 18.00 ----

Since our MAP server uses Spring Boot capabilities for Logging, and according to Spring Boot communication, the Log4Shell vulnerability has no impact on our deployment. Please see communication on Spring Boot website 

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Given the severity, we will generate a new version updating dependencies anyway.

As MBI and AS400 connector, all components using 1.X version of Log4j are impacted by the vulnerability only if JMS Appender is configured. This is NOT the case for MBI and AS400 connector.

Here again, even if the exposition is minimal to nul, we will generate new version upgrading dependencies.

---- UPDATE 12/16/2021 19.00 ----

An update to Centreon MAP is now available that updated log4j to 2.16.0 which fixes this vulnerability.

---- UPDATE 12/20/2021 09:45 ---

A new flaw causing DOS attacks has been found on log4j library 2.16. We are currently building a version of MAP with version 2.17. It should be available today.

---- UPDATE 12/21/2021 10:40 ---

An update to Centreon MAP is now available that updated log4j to 2.17.0 which fixes the new vulnerability discovered last weekend (CVE-2021-45105)

Version française

Résumé

Une faille 0-day nom de code Log4Shell (CVE-2021-44228) a été dévoilée publiquement le 9 décembre 2021. Une description détaillée de la faille se trouve ici dans la catégorie  “Fixed in Log4j 2.15.0”. Le communiqué du CERT-FR se trouve ici.

Le groupe en charge de la sécurité chez Centreon a conduit une étude préliminaire sur le code pour déterminer les impacts de cette vulnérabilité.

Impact

Les composants ce Centreon qui sont impacté sont ceux utilisant du Java :

• Serveur Centreon MAP
• Serveur Centreon MBI
• AS400 connector

Aucun autre composant ni aucun service cloud ne sont impactés.

Etat des investigations

Toutes les versions de MAP supportées (20.10,21.04,21.10) embarquent la librairie log4j en version 2.13 qui est affectée par cette vulnérabilité.

Même si Centreon teste en ce moment des solutions de contournement et travaille sur une mise à jour du logiciel, nous vous recommandons de revoir nos conseils pour la sécurisation de la plateforme.

Toutes les versions de MBI supportées (20.10,21.04,21.10) ainsi que le connecteur AS400 utilisent la librairie en version 1.x qui est susceptible d’être concernée en fonction de la configuration.

Les équipes de Centreon sont en train de vérifier l’impact de ces configurations, en même temps qu’elles testent des solutions de contournement et travaillent sur la mise à jour du logiciel.

Prochaines Etapes

Dès que des solutions de contournement auront été identifiées et/ou des nouvelles versions générées, Centreon notifiera ses clients des actions correctives à mener.

Cette notice sera mise à jour pour toute nouvelle information disponible. 

Veuillez s’il vous plaît vous abonner aux mises à jour de ce post.

---- MISE A JOUR 13/12/2021 18:00 ----

Etant donné que notre serveur MAP utilise Srping Boot pour le logging, et conformément à la communication de Spring Boot, la vulnérabilité Log4Shell n’a pas d’impact sur nos déploiements de MAP. Merci de prendre connaissance de la communication de Spring Boot à ce sujet. https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Ceci étant, au vue de la sévérité du problème, nous allons tout de même générer une nouvelle version de MAP qui met à jour la liste des dépendances.

Comme tous les composants utilisant une version 1.x de log4j, MBI et AS400 ne seraient impacté par la vulnérabilité que si JMS appender était configuré, ce qui n’est pas le cas pour ces deux composants.

Ici encore, au vue de la sévérité du problème, et même si l’exposition est minimale voire nulle, nous allons tout de même générer de nouvelles version de MBI et du connecteur AS400 embarquant la dernière version de log4j.

---- MISE A JOUR 16/12/2021 19.00 ----

Des updates de Centreon MAP ont été réalisées pour inclure log4j 2.16.0 qui résout la vulnérabilité ci-dessus.

---- MISE A JOUR 20/12/2021 09.45 ---

Une nouvelle faille de sécurité pouvant entrainer des attaques de type DOS a été détectée dans la version 2.16 de log4j. Nous sommes actuellement en train de builder une version de MAP liée à la version2.17. Celle-ci devrait être disponible dans la journée.

---- MISE A JOUR 21/12/2021 10:40 ---

Une mise à jour de Centreon MAP ont été réalisées pour inclure log4j 2.17.0 qui résout la vulnérabilité découverte ce weekend (CVE-2021-45105)