Habe folgende in einem der vielen Matrix Chats aufgeschnappt. Es geht um eine Sicherheitslücke für alle Jitsi Versionen bis 2.1-504-g2f7fcb978.

Nach einem Update auf die aktuelle Version 2.1-595-g3637fda42 ist die Sicherheitslücke geschlossen.

Auf das Problem bin ich aufmerksam geworden in einer Matrix Admin Gruppe. Das Problem sind alle Anwendungen die auf Java basieren. Anwendungen wie WordPress und Matrix sind nicht betroffen. (Nicht darauf festnageln, kann mich auch vertuen) Diese Sicherheitslücke ermöglicht die unautorisierte Remotecodeausführung.

Zitat:

Ich habe leider immer noch viel zu tun, aber habe mir die Situation noch einmal ein paar Minuten angeschaut. Ich bin mir jetzt sicher, dass die Videobridge von Jitsi log4j von der Apache Foundation nutzt. Die Debian-Pakete aus dem Repository https://download.jitsi.org beinhalten mit Stand gestern Abend 21:00 Uhr die Datei log4j-core-2.13.2.jar (/usr/share/jitsi-videobridge/lib/log4j-core-2.13.2.jar). Korrigiert ist die Schwachstelle in der Version 2.15.0. Inzwischen (Stand 11.12.2021, 12:00 Uhr) sind aktualisierte Pakete im o. g. Respository verfügbar, also: Schnellstmöglich Jitsi aktualisieren

Matrix Jitsi admin Gruppe

Quelle:. https://github.com/jitsi/security-advisories/blob/master/advisories/JSA-2021-0004.md

Zitat hier: (übersetzt ins deutsche)

Die log4j-Bibliothek weist eine RCE-Schwachstelle auf (CVE-2021-44228). Das jitsi-videobridge-Paket ist von dieser Sicherheitslücke betroffen, wenn callstats aktiviert ist, und zwar für Versionen von jitsi-videobridge vor 2.1-504-g2f7fcb978 (Mai 2021). Spätere Versionen vor v2.1-595-g3637fda42 (Dezember 2021) sind nicht betroffen, wenn sie mit Standardeinstellungen ausgeführt werden, da log4j nicht ordnungsgemäß geladen wird, können aber betroffen sein, wenn das Laden von log4j behoben wird.

https://github.com/jitsi/security-advisories/blob/master/advisories/JSA-2021-0004.md

Update 21:52 Uhr:

Das BSI hat diese Sicherheitslücke auf Warnstufe Rot eingestuft. Extrem Kritisch! Grund dafür ist die weite Verbreitung der Java-Bibliothek Log4j.

Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.

Das BSI empfiehlt, gerade Unternehmen die Maßnahmen zur Abwehr von Bedrohungen umzusetzen. Wie in diesem PDF beschrieben.

Fixed in Debian und Ubuntu (Patch vorhanden)