¿Qué ha pasado? ¿Qué es la vulnerabilidad de Apache Log4j?
Se han detectado varias vulnerabilidades de seguridad en Apache Log4j 2.X, incluidas CVE-2021-44228, CVE-2021-45046, CVE-2021-44832, CVE-2021-45105 y CVE-2021-44832, a partir del 10 de diciembre del 2021. Las vulnerabilidades van desde una vulnerabilidad de día cero crítica en la biblioteca que puede permitir a los atacantes ejecutar código de forma remota hasta posibles problemas de denegación de servicio, todo ello con diferentes niveles de puntuación CVSS.
¿Afecta a Looker? ¿Cómo respondió Looker?
Looker usa Log4j en su aplicación y el equipo ha solucionado la vulnerabilidad revisando el uso y la configuración de las bibliotecas Log4j en Looker, así como actualizando las bibliotecas Log4j con un parche que incluye al menos la versión 2.17.0 publicada por Apache, tal como se indica en el sitio web Vulnerabilidades de seguridad de Apache Log4j.
Las instancias alojadas en Looker se han actualizado a una versión de Looker que usa Log4j 2.17.0. Se han actualizado las dependencias de controladores de terceros a la versión más reciente proporcionada por los terceros. Los clientes que tengan instancias alojadas por ellos mismos deben actualizar su instancia lo antes posible a una de las versiones que se indican en la parte inferior de esta página, que contienen las versiones actualizadas de Log4j 2 para Looker y controladores de terceros.
Los equipos de producto y seguridad de Looker han determinado que Looker no es vulnerable a CVE-2021-44832 debido al uso y la configuración que hacemos de la biblioteca.
¿Cómo ha mitigado Looker la vulnerabilidad de Log4j?
Looker ha actualizado o publicado versiones parcheadas con bibliotecas Log4j actualizadas. Looker seguirá un proceso de corrección para monitorizar y actualizar nuestras bibliotecas Log4j a medida que haya nuevas actualizaciones disponibles y nuestros terceros actualicen sus bibliotecas. Looker ha configurado la monitorización y las alertas en respuesta a las vulnerabilidades conocidas de Log4j y, si es necesario, comunicaremos los problemas a través de nuestro proceso estándar de respuesta a incidentes.
¿Cómo puedo ver en qué versión está mi instancia?
Haz clic en el icono del signo de interrogación situado en la parte superior derecha de tu instancia de Looker. El número de versión se mostrará a la derecha de la sección Notas de la versión.
| Versión de lanzamiento | Versión recomendada actual | Fecha de actualización de las instancias alojadas de Looker |
21,20 |
21.20.30+ |
28 y 29 de diciembre del 2021 |
21,18 |
21.18.40+ |
28 y 29 de diciembre del 2021 |
21,16 |
21.16.43+ |
28 y 29 de diciembre del 2021 |
21.14 |
21.14.51+ |
28 y 29 de diciembre del 2021 |
21,12 |
21.12.72+ |
28 y 29 de diciembre del 2021 |
21.10 |
21.10.54+ |
28 y 29 de diciembre del 2021 |
21,8 |
21.8.55+ |
28 y 29 de diciembre del 2021 |
21,6 |
21.6.76+ |
28 y 29 de diciembre del 2021 |
21,4 |
21.4.66+ |
28 y 29 de diciembre del 2021 |
21,0 |
21.0.92+ |
28 y 29 de diciembre del 2021 |
7.20 |
7.20.77+ |
28 y 29 de diciembre del 2021 |
7.18 |
7.18.77+ |
28 y 29 de diciembre del 2021 |
7.16 |
7.16.85+ |
28 y 29 de diciembre del 2021 |
7.14 |
7.14.57+ |
28 y 29 de diciembre del 2021 |
7.12 |
N/A |
N/A |
7.10 |
7.10.77+ |
28 y 29 de diciembre del 2021 |
7,8 |
7.8.55+ |
28 y 29 de diciembre del 2021 |
7.6 |
N/A |
N/A |
7.4 |
7.4.78+ |
28 y 29 de diciembre del 2021 |
7.2 |
7.2.64+ |
28 y 29 de diciembre del 2021 |
7,0 |
7.0.58+ |
28 y 29 de diciembre del 2021 |
6.24 |
6.24.76+ |
28 y 29 de diciembre del 2021 |
1.0-6.22 |
N/A |
N/A |