Tobias Scheible Cyber Security & IT-Forensik Dozent
Stadt Skyline

Jitsti Meet und die Log4Shell Sicherheitslücke

Über die kritische Zero-Day-Sicherheitslücke mit der Bezeichnung Log4Shell in der Java-Logging-Bibliothek Log4j können Angreifer Schadcode ausführen. Jitsi Meet ist nur betroffen, wenn die Erweiterung bzw. Schnittstelle Callstats verwendet wird. Um dies zu beheben, wurde am 10.12. eine neue Version von Jitsi Meet veröffentlicht.

Samstag, 11. Dezember 2021
0 Kommentare

In vielen Medien wird gerade über die Zero-Day-Lücke Log4Shell (CVE-2021-44228) berichtet. Die Sicherheitslücke in der Java-Bibliothek Log4j ist sehr gravierend und dadurch, dass die Bibliothek selbst in vielen Projekten eingesetzt wird, sind viele andere Projekte und Dienste davon betroffen.

Die Macher hinter dem Jitsi Meet Projekt haben vorbildlich reagiert und sehr schnell die entsprechenden Informationen veröffentlicht, in welcher Form Jitsi Meet von der Log4Shell Sicherheitslücke betroffen ist. Gleichzeitig wurde ein Update mit Fix veröffentlicht.

Reaktion von Jitsi Meet

Auf GitHub betreibt das Projekt eine zentrale Anlaufstelle für Security Advisories (Sicherheitshinweise) – sehr vorbildlich. Die Macher von Jitsi Meet haben nach Bekanntwerden der Sicherheitslücke schnell reagiert und den folgenden Hinweis veröffentlicht:

Overview
    Project: jitsi-videobridge
    Summary: JVB affected by log4j vulnerability when callstats is enabled
    Severity: Critical
    Affected versions: All < 2.1-504-g2f7fcb978
    Fixed date: 2021-12-10
    Fixed version: 2.1-595-g3637fda42
    CVE: [pending]
    Reported by: Jitsi Team

Description
The log4j library has a RCE vulnerability (CVE-2021-44228). The jitsi-videobridge package is affected by this vulnerability when callstats is enabled, for versions of jitsi-videobridge prior to 2.1-504-g2f7fcb978 (May 2021). Later versions prior to v2.1-595-g3637fda42 (December 2021) are not affected when running with defaults because log4j is not loaded properly, but may be affected if log4j loading is fixed.

Resolution
Update to v2.1-595-g3637fda42 or load the JVM with the -Dlog4j2.formatMsgNoLookups=true flag.

Zusätzlich wurde im offiziellem Forum ein ausführlicherer Hinweis zu Log4Shell veröffentlicht und ein entsprechendes Update angekündigt:

Summary
Some of the Jitsi components load a version of log4j which is affected by CVE-2021-44228 108. According to our review, jigasi and older jitsi-videobridge instances configured to use callstats may be affected, while all other jitsi components and jigasi instances with no callstats configuration are not affected.

Mitigation
Jigasi instances with callstats enabled should be updated to 1.1-216.
Jitsi-videobridge instances older than 2.1-504 (May 2021) with callstats enabled should be updated to 2.1-504 or newer.
Affected components
None of the jitsi projects use log4j directly, however some of them load it as a transitive dependency via jitsi-stats → callstats-java-sdk.

Jicofo
Jicofo loads it only at the test phase due to the jitsi-videobridge dependency, and thus it is not affected.

Jitsi-videobridge
When callstats is not enabled, jitsi-videobridge is not affected.
When callstats is enabled:
Versions before 2.1-504-g2f7fcb978 (May 2021) may be affected.
Versions between 2.1-504 and 2.1-594-g56e0dae00 (inclusive) are not affected because they use incompatible versions of log4j, resulting in a failure to load the affected log4j-core classes:
[INFO] ± org.jitsi:jitsi-stats:jar:1.0-7-g2a9b765:compile
[INFO] | - io.callstats:callstats-java-sdk:jar:5.2.1:compile
[INFO] | ± org.apache.logging.log4j:log4j-api:jar:2.3:compile
[INFO] | ± org.apache.logging.log4j:log4j-core:jar:2.13.2:compile
Versions v2.1-595-g3637fda42 (Dec 10, 2021) and newer are not affected, because they include a new version of log4j:
[INFO] ± org.jitsi:jitsi-stats:jar:1.0-9-g4ce7952:compile
[INFO] | ± io.callstats:callstats-java-sdk:jar:5.3.1:compile
[INFO] | | ± org.apache.logging.log4j:log4j-api:jar:2.15.0:compile
[INFO] | | ± org.apache.logging.log4j:log4j-core:jar:2.15.0:compile

Jigasi
When callstats is not enabled, jigasi is not affected.
When callstats is enabled jigasi versions prior to 1.1-216-ga2399b9 (Dec 10, 2021) may be affected.

Infrastructure
We are in the process of releasing a new version of jigasi to all our deployments. There are no other running systems affected by the issue.

Releases
A new debian stable version of jigasi has been released. A new debian stable release of the jitsi-meet package will be released soon. New docker images will be released soon.

Aktualisierte Version von Jitsi Meet

Um die Log4Shell Sicherheitslücke in Jitsi Meet zu schließen wurde am 10.12. ein Update mit der Versionsnummer 2.0.6726 veröffentlicht. Dazu ist in der Web Changelog für die Komponenten jitsi-videobridge (Version 2.1-595-g3637fda4) der folgende Hinweis zu finden:

Bumps jitsi-stats (pulls in log4j 2.15.0). Fixes [CVE-2021-44228] (https://github.com/advisories/GHSA-jfh8-c2jp-5v3q)

Daher sollten alle Betreiber eines Jitsi Meet Servers das Update zeitnah einspielen, auch wenn Jitsi Meet ohne die Nutzung von Callstats nicht von Log4Shell betroffen ist.

Jitsi Meet Artikelserie

Dieser Blogbeitrag ist Teil der Artikelserie „Videokonferenzen mit Jitsi Meet“, die sich mit dem Open-Source-Webkonferenzsystem Jitsi für Video-, Web- und Telefonkonferenzen beschäftigt. Die Artikelserie zu Jitsi Meet umfasst die folgenden Themen:


Jitsi Meet Artikel für Anwender


Jitsi Meet Artikel für Administratoren

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.