开发的软件中,如果存在Apache Log4j 库中的关键漏洞,该如何处理?开发者需要知道些什么?开发者需要做些什么吗?
Solution
Apache Log4j库中的关键漏洞(CVE-2021-44228)于2021年12月9日发布。
Insights Hub已经修补了整个平台,包括底层的Cloud foundry系统。
如果您是使用Cloud Foundry中的Java buildpack 的应用程序的开发人员或操作人员,那么您需要采取行动,
由于新的JAVA buildpack 已经发布,修复了这个漏洞,您需要升级到最新的JAVA buildpack:
请检查您的软件的依赖和第三方库, 是否有使用log4j,
您可以通过重新启动你的应用来使用新的buildpack:
cf restage ADD_APP_NAME_HERE
2021年12月17日更新:
CVE-2021-45046 (Apache Log4j 2.15.0版本中存在的问题,在2.16.0版本中得以修复)评分从3.7升级到9。
CVE-2021-45105 Apache Log4j 2.16.0版本允许DoS攻击。此问题已在版本2.17.0修复,评分为7.5分(高)。
我们建议所有客户升级到最新的Apache log4j版本。
2021年12月16日更新:
为了保证平台的安全和可靠,我们需要一个维护窗口:AWS, ALI和Azure日期:2021年12月17日09:00 - 10:00 AM CET。此维护过程不会对CloudFoundry和Insights Hub的任何功能产生影响。但是,由于服务重启,可能会有很短一段时间的部分停机,https://status.sw.siemens.com/
请注意,使用Mendix构建包的客户也应该检查他们的应用程序并升级到log4j 2.16.0版本,有关Mendix的更多信息可以在这里找到:https://status.mendix.com/incidents/8j5043my610c
2021年12月15日更新:
一个新的针对Apache Log4j 库的CVE (CVE-2021-45046)于2021年12月14日发布。
Notes
关于漏洞相关的额外信息,可查阅:
https://www.wired.com/story/log4j-flaw-hacking-internet/
https://logging.apache.org/log4j/2.x/security.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-45046
https://nvd.nist.gov/vuln/detail/CVE-2021-45105
Notes