Jitsti Meet und die Log4Shell Sicherheitslücke
In vielen Medien wird gerade über die Zero-Day-Lücke Log4Shell (CVE-2021-44228) berichtet. Die Sicherheitslücke in der Java-Bibliothek Log4j ist sehr gravierend und dadurch, dass die Bibliothek selbst in vielen Projekten eingesetzt wird, sind viele andere Projekte und Dienste davon betroffen.
Die Macher hinter dem Jitsi Meet Projekt haben vorbildlich reagiert und sehr schnell die entsprechenden Informationen veröffentlicht, in welcher Form Jitsi Meet von der Log4Shell Sicherheitslücke betroffen ist. Gleichzeitig wurde ein Update mit Fix veröffentlicht.
Reaktion von Jitsi Meet
Auf GitHub betreibt das Projekt eine zentrale Anlaufstelle für Security Advisories (Sicherheitshinweise) – sehr vorbildlich. Die Macher von Jitsi Meet haben nach Bekanntwerden der Sicherheitslücke schnell reagiert und den folgenden Hinweis veröffentlicht:
Overview
Project: jitsi-videobridge
Summary: JVB affected by log4j vulnerability when callstats is enabled
Severity: Critical
Affected versions: All < 2.1-504-g2f7fcb978
Fixed date: 2021-12-10
Fixed version: 2.1-595-g3637fda42
CVE: [pending]
Reported by: Jitsi Team
Description
The log4j library has a RCE vulnerability (CVE-2021-44228). The jitsi-videobridge package is affected by this vulnerability when callstats is enabled, for versions of jitsi-videobridge prior to 2.1-504-g2f7fcb978 (May 2021). Later versions prior to v2.1-595-g3637fda42 (December 2021) are not affected when running with defaults because log4j is not loaded properly, but may be affected if log4j loading is fixed.
Resolution
Update to v2.1-595-g3637fda42 or load the JVM with the -Dlog4j2.formatMsgNoLookups=true flag.
Zusätzlich wurde im offiziellem Forum ein ausführlicherer Hinweis zu Log4Shell veröffentlicht und ein entsprechendes Update angekündigt:
Summary Some of the Jitsi components load a version of log4j which is affected by CVE-2021-44228 108. According to our review, jigasi and older jitsi-videobridge instances configured to use callstats may be affected, while all other jitsi components and jigasi instances with no callstats configuration are not affected. Mitigation Jigasi instances with callstats enabled should be updated to 1.1-216. Jitsi-videobridge instances older than 2.1-504 (May 2021) with callstats enabled should be updated to 2.1-504 or newer. Affected components None of the jitsi projects use log4j directly, however some of them load it as a transitive dependency via jitsi-stats → callstats-java-sdk. Jicofo Jicofo loads it only at the test phase due to the jitsi-videobridge dependency, and thus it is not affected. Jitsi-videobridge When callstats is not enabled, jitsi-videobridge is not affected. When callstats is enabled: Versions before 2.1-504-g2f7fcb978 (May 2021) may be affected. Versions between 2.1-504 and 2.1-594-g56e0dae00 (inclusive) are not affected because they use incompatible versions of log4j, resulting in a failure to load the affected log4j-core classes: [INFO] ± org.jitsi:jitsi-stats:jar:1.0-7-g2a9b765:compile [INFO] | - io.callstats:callstats-java-sdk:jar:5.2.1:compile [INFO] | ± org.apache.logging.log4j:log4j-api:jar:2.3:compile [INFO] | ± org.apache.logging.log4j:log4j-core:jar:2.13.2:compile Versions v2.1-595-g3637fda42 (Dec 10, 2021) and newer are not affected, because they include a new version of log4j: [INFO] ± org.jitsi:jitsi-stats:jar:1.0-9-g4ce7952:compile [INFO] | ± io.callstats:callstats-java-sdk:jar:5.3.1:compile [INFO] | | ± org.apache.logging.log4j:log4j-api:jar:2.15.0:compile [INFO] | | ± org.apache.logging.log4j:log4j-core:jar:2.15.0:compile Jigasi When callstats is not enabled, jigasi is not affected. When callstats is enabled jigasi versions prior to 1.1-216-ga2399b9 (Dec 10, 2021) may be affected. Infrastructure We are in the process of releasing a new version of jigasi to all our deployments. There are no other running systems affected by the issue. Releases A new debian stable version of jigasi has been released. A new debian stable release of the jitsi-meet package will be released soon. New docker images will be released soon.
Aktualisierte Version von Jitsi Meet
Um die Log4Shell Sicherheitslücke in Jitsi Meet zu schließen wurde am 10.12. ein Update mit der Versionsnummer 2.0.6726 veröffentlicht. Dazu ist in der Web Changelog für die Komponenten jitsi-videobridge (Version 2.1-595-g3637fda4) der folgende Hinweis zu finden:
Bumps jitsi-stats (pulls in log4j 2.15.0). Fixes [CVE-2021-44228] (https://github.com/advisories/GHSA-jfh8-c2jp-5v3q)
Daher sollten alle Betreiber eines Jitsi Meet Servers das Update zeitnah einspielen, auch wenn Jitsi Meet ohne die Nutzung von Callstats nicht von Log4Shell betroffen ist.
Jitsi Meet Artikelserie
Dieser Blogbeitrag ist Teil der Artikelserie „Videokonferenzen mit Jitsi Meet“, die sich mit dem Open-Source-Webkonferenzsystem Jitsi für Video-, Web- und Telefonkonferenzen beschäftigt. Die Artikelserie zu Jitsi Meet umfasst die folgenden Themen:
Jitsi Meet Artikel für Anwender
- Liste mit öffentlichen Jitsi Meet Instanzen
- Anleitung für Jitsi Meet Videokonferenzen
- Jitsi Meet Anleitung für Moderatoren
- Jitsi Meet für Smartphones und Tablets
- Jitsti Meet Nutzung per Desktop App
- Tipps und Tricks mit Jitsi Meet
- Meine eigene Jitsi Meet Instanz
- Jitsi Meet Server mit ressourcensparender Konfiguration
- Neuer Jitsi Meet Testserver (Nightly Builds)
- Virtuelle Webcam in Jitsi Meet verwenden
- Virtuelle Desktops für die Freigabe nutzen
- Neues zu Jitsi Meet – Update und Server
- Breakout Rooms in Jitsi Meet
Jitsi Meet Artikel für Administratoren
- Installation eines eigenen Jitsi Meet Servers
- Jitsi Meet unter Ubuntu 20.04 installieren
- Mehrere Jitsi Meet Varianten per API
- Geschwindigkeitsoptimierung von Jitsi Meet
- Das Design von Jitsi Meet anpassen
- Datenschutzfreundliche Konfiguration von Jitsi Meet
- Jitsi Meet Update Script
- Jitsi Meet Server Auslastung
- Jitsi Meet Statistik als Grafana Dashboard
- Neues Jitsi Meet Feature: Lobby Wartebereich
- Jitsti Meet und die Log4Shell Sicherheitslücke
