Wikibase/Announcements/2021-12-14/id

Tim Wikibase mengetahui tentang kelemahan di log4j yang diumumkan pada 9 Desember 2021: CVE-2021-44228 alias log4shell. Di instalasi Docker Wikibase kami, satu-satunya bagian perangkat lunak yang terpengaruh oleh kelemahan ini adalah versi Elasticsearch yang kami sedang gunakan, yaitu 6.5.4. Ini adalah versi lama dari Elasticsearch. Lihat pengumuman dari Elastic.

Untuk sekarang, pengguna gambar Docker wikibase-release-pipeline sebaiknya menghindari kelemahan ini dengan mematikan pencarian log4j.

Untuk menghindari kelemahan tersebut, tambahkan opsi Java berikut ke variabel ES_JAVA_OPTS yang ditetapkan di berkas docker-compose(-extra).yml Anda dan mulai ulang gambar Docker Anda:

-Dlog4j2.formatMsgNoLookups=true

Tambalan ini juga tersedia di cermin github kami.

Selanjutnya, kami akan meninjau secara hati-hati perangkat lunak baru atau versi baru perangkat lunak yang ada untuk memastikan kelemahan log4shell tidak ada di sana.

Silakan merespons di halaman pertanyaan kami dengan pertanyaan atau kekhawatiran apa pun. Terima kasih atas perhatian Anda.