Sécurité

Talend Tips : Risques liés à CVE-2021-44228 dans Apache Log4j2

1 janvier 2023

Information de Talend sur les risques liés à Log4j

L’équipe de Talend est pleinement consciente des risques associés à CVE-2021-44228 affectant Apache Log4j2 et travaille activement à identifier et corriger les modules concernés au sein de nos solutions. Nous sommes heureux d’annoncer que Talend Cloud, ainsi que toutes les applications qui y sont intégrées (TMC, TDS/TDP, TDI, etc.), ont déjà été sécurisées et ne sont pas affectées par cette vulnérabilité.

Solution actuelle pour les produits on-prem (Studio, Remote Engine, TAC, etc.)

Voici les mesures de mitigation temporaires recommandées pour nos produits on-premises :

  1. Pour le Studio Talend : ajoutez le drapeau -Dlog4j2.formatMsgNoLookups=true au fichier de configuration situé dans <Dossier d'Installation du Studio>\Talend-Studio-win-x86_64.ini pour les utilisateurs Windows, ou dans studioname.ini pour les utilisateurs Mac ou Linux. Sauvegardez et redémarrez le studio pour appliquer le changement.
  2. Pour TAC : ce drapeau doit être ajouté au script setenv.sh dans le dossier <Dossier TAC>/apache-tomcat/bin, en tant que paramètre supplémentaire dans la section JAVA_OPS. Sauvegardez et redémarrez TAC pour que le drapeau soit pris en compte.
  3. Pour le Jobserver : ajoutez ce drapeau au service pour qu’il s’applique à tous les jobs. Des informations supplémentaires sont disponibles sur la communauté Talend. Notez que cela nécessitera l’arrêt et le redémarrage de votre Jobserver.
  4. Pour Runtime : ajoutez le drapeau dans le script setenv.sh au sein de Runtime. Il est possible que vous deviez déployer/redéployer des routes/services pour que les modifications prennent effet.
  5. Pour les Remote Engines : sur les environnements affectés, ajoutez ce drapeau dans le script setenv.sh pour Linux, ou setenv.bat pour Windows, dans le dossier <Remote Engine>\bin. Redémarrez le Remote Engine après avoir effectué ces changements.
  6. Si Runtime/Remote Engine est installé en tant que service : ajoutez le paramètre wrapper.java.additional.n=-Dlog4j2.formatMsgNoLookups=true dans le fichier de configuration du service (<runtimedir>/etc, par exemple talend-runtime-x.x.x-wrapper.conf), puis redémarrez Runtime/Remote Engine.

Pour plus d’informations sur CVE-2021-44228, consultez les ressources suivantes :

La page d’origine incluait deux captures d’écran illustrant la configuration du flag Log4j sous Linux et sous Windows - non reprises ici, les instructions ci-dessus en couvrent le contenu.

← Toutes les astuces Talend