Was ist passiert? Was ist die Apache Log4j-Sicherheitslücke?
Seit dem 10. Dezember 2021 wurden mehrere Sicherheitslücken in Apache Log4j 2.X bekannt, darunter CVE-2021-44228, CVE-2021-45046, CVE-2021-44832, CVE-2021-45105 und CVE-2021-44832. Die Sicherheitslücken reichen von einer kritischen 0-Day-Lücke in der Bibliothek, die es Angreifern ermöglicht, eine Remote-Code-Ausführung (RCE) durchzuführen, bis hin zu potenziellen DOS-Problemen, die alle unterschiedliche CVSS-Bewertungen haben.
Ist Looker betroffen? Wie hat Looker reagiert?
Looker verwendet Log4j in seiner Anwendung. Das Team hat die Sicherheitslücke behoben, indem es die Verwendung und Konfiguration der Log4j-Bibliotheken in Looker überprüft und die Log4j-Bibliotheken mit einem Patch aktualisiert hat, der mindestens Version 2.17.0 von Apache enthält, wie auf der Website Apache Log4j-Sicherheitslücken angegeben.
Von Looker gehostete Instanzen wurden auf eine Looker-Version mit Log4j 2.17.0 aktualisiert. Die Treiberabhängigkeiten von Drittanbietern wurden auf die jeweils neueste Version aktualisiert. Kunden mit von ihnen gehosteten Instanzen sollten ihre Instanz so bald wie möglich auf eine Version aktualisieren, die unten auf dieser Seite aufgeführt ist und die aktualisierten Versionen von Log4j 2 für Looker und Drittanbieter-Treiber enthält.
Die Produkt- und Sicherheitsteams von Looker haben festgestellt, dass Looker aufgrund der Verwendung und Konfiguration der Bibliothek nicht anfällig für CVE-2021-44832 ist.
Wie hat Looker die Log4j-Sicherheitslücke geschlossen?
Looker hat aktualisierte oder gepatchte Versionen mit aktualisierten Log4j-Bibliotheken veröffentlicht. Looker wird weiterhin unsere Log4j-Bibliotheken überwachen und aktualisieren, sobald neue Updates verfügbar sind und unsere Drittanbieter ihre Bibliotheken aktualisieren. Looker hat Überwachung und Benachrichtigungen als Reaktion auf die bekannten Log4j-Sicherheitslücken eingerichtet. Bei Bedarf informieren wir Sie über Probleme im Rahmen unseres standardmäßigen Prozesses zur Reaktion auf Vorfälle.
Wie finde ich heraus, welche Version meine Instanz hat?
Klicken Sie in Ihrer Looker-Instanz oben rechts auf das Fragezeichensymbol. Die Versionsnummer wird rechts neben dem Abschnitt „Release Notes“ angezeigt.
Releaseversion | Aktuelle empfohlene Version | Datum der Aktualisierung für von Looker gehostete Instanzen |
21.20 |
21.20.30 und höher |
28. und 29. Dezember 2021 |
21.18 |
21.18.40 und höher |
28. und 29. Dezember 2021 |
21.16 |
21.16.43 und höher |
28. und 29. Dezember 2021 |
21.14 |
21.14.51 und höher |
28. und 29. Dezember 2021 |
21.12 |
21.12.72+ |
28. und 29. Dezember 2021 |
21.10 |
21.10.54 und höher |
28. und 29. Dezember 2021 |
21,8 |
21.8.55 und höher |
28. und 29. Dezember 2021 |
21,6 |
21.6.76 und höher |
28. und 29. Dezember 2021 |
21.4 |
21.4.66 und höher |
28. und 29. Dezember 2021 |
21.0 |
21.0.92 und höher |
28. und 29. Dezember 2021 |
7.20 |
7.20.77 und höher |
28. und 29. Dezember 2021 |
7.18 |
7.18.77 und höher |
28. und 29. Dezember 2021 |
7.16 |
7.16.85 und höher |
28. und 29. Dezember 2021 |
7.14 |
7.14.57 und höher |
28. und 29. Dezember 2021 |
7.12 |
– |
– |
7.10 |
7.10.77 und höher |
28. und 29. Dezember 2021 |
7.8 |
7.8.55 und höher |
28. und 29. Dezember 2021 |
7.6 |
– |
– |
7.4 |
7.4.78 und höher |
28. und 29. Dezember 2021 |
7.2 |
7.2.64 und höher |
28. und 29. Dezember 2021 |
7.0 |
7.0.58 und höher |
28. und 29. Dezember 2021 |
6.24 |
6.24.76 und höher |
28. und 29. Dezember 2021 |
1.0-6.22 |
– |
– |