Insights Hub 开发的软件中,如果存在Apache Log4j 库中的关键漏洞,该如何处理?

2023-04-23T09:05:27Z
Applications

摘要


详细信息

开发的软件中,如果存在Apache Log4j 库中的关键漏洞,该如何处理?开发者需要知道些什么?开发者需要做些什么吗?

Solution

Apache Log4j库中的关键漏洞(CVE-2021-44228)于2021年12月9日发布。

Insights Hub已经修补了整个平台,包括底层的Cloud foundry系统。

如果您是使用Cloud Foundry中的Java buildpack 的应用程序的开发人员或操作人员,那么您需要采取行动,

由于新的JAVA buildpack 已经发布,修复了这个漏洞,您需要升级到最新的JAVA buildpack:

请检查您的软件的依赖和第三方库, 是否有使用log4j,

  • 如果是,请检查您是否使用了带有漏洞的版本2.X. -> 2.14.X
    • 如果是,则需要升级到2.17.0及以上的版本

      您可以通过重新启动你的应用来使用新的buildpack:

      cf restage ADD_APP_NAME_HERE

      2021年12月17日更新:

      CVE-2021-45046 (Apache Log4j 2.15.0版本中存在的问题,在2.16.0版本中得以修复)评分从3.7升级到9。

      CVE-2021-45105 Apache Log4j 2.16.0版本允许DoS攻击。此问题已在版本2.17.0修复,评分为7.5分(高)。

      我们建议所有客户升级到最新的Apache log4j版本。

      2021年12月16日更新:

      为了保证平台的安全和可靠,我们需要一个维护窗口:AWS, ALI和Azure日期:2021年12月17日09:00 - 10:00 AM CET。此维护过程不会对CloudFoundry和Insights Hub的任何功能产生影响。但是,由于服务重启,可能会有很短一段时间的部分停机,https://status.sw.siemens.com/

      请注意,使用Mendix构建包的客户也应该检查他们的应用程序并升级到log4j 2.16.0版本,有关Mendix的更多信息可以在这里找到:https://status.mendix.com/incidents/8j5043my610c

      2021年12月15日更新:

      一个新的针对Apache Log4j 库的CVE (CVE-2021-45046)于2021年12月14日发布。

      1. 从维护人员的角度来看,提到的LOG4J_FORMAT_MSG_NO_LOOKUPS方法是不完全足够的,虽然降低了风险,但在某些情况下仍有可能被使用。
        1. 到目前为止,我们认为版本2.15是安全的,尽管这可能会发生变化。
          1. 版本2.15仍然有一个开放的漏洞,可能导致对应用程序的拒绝服务攻击,因此维护人员发布了2.16

            Notes

            关于漏洞相关的额外信息,可查阅:

            https://www.wired.com/story/log4j-flaw-hacking-internet/

            https://logging.apache.org/log4j/2.x/security.html

            https://nvd.nist.gov/vuln/detail/CVE-2021-44228

            https://nvd.nist.gov/vuln/detail/CVE-2021-45046

            https://nvd.nist.gov/vuln/detail/CVE-2021-45105

            Notes

            知识库文章 ID# PL8600823

            内容

            摘要详细信息

            关联组件

            Launchpad