Que s'est-il passé ? Quelle est la faille Apache Log4j ?
Plusieurs failles de sécurité ont été détectées dans Apache Log4j 2.X, y compris CVE-2021-44228, CVE-2021-45046, CVE-2021-44832, CVE-2021-45105 et CVE-2021-44832. Elles ont été divulguées à partir du 10 décembre 2021. Les failles vont d'un exploit critique de type "zero-day" dans la bibliothèque qui peut permettre aux pirates informatiques d'exécuter du code à distance (RCE) à des problèmes de DOS potentiels, tous avec des niveaux de scores CVSS différents.
Looker est-il concerné ? Comment Looker a-t-il réagi ?
Looker utilise Log4j dans son application. L'équipe a corrigé la faille en examinant l'utilisation et la configuration des bibliothèques Log4j par Looker, et en les mettant à niveau avec un correctif qui inclut au moins la version 2.17.0 publiée par Apache, comme indiqué sur le site Web Failles de sécurité Apache Log4j.
Les instances hébergées par Looker ont été mises à jour vers une version de Looker qui utilise Log4j 2.17.0. Les dépendances de pilotes tiers ont été mises à jour vers la version la plus récente fournie par les tiers. Les clients qui utilisent des instances hébergées par le client doivent mettre à jour leur instance dès que possible vers une version figurant en bas de cette page, qui contient ces versions mises à jour de Log4j 2 pour Looker et les pilotes tiers.
Les équipes produit et sécurité de Looker ont déterminé que Looker n'est pas vulnérable à la faille CVE-2021-44832 en raison de notre utilisation et de notre configuration de la bibliothèque.
Comment Looker a-t-il atténué la faille Log4j ?
Looker a mis à jour ou publié des versions corrigées avec des bibliothèques Log4j mises à jour. Looker continuera de suivre un processus de correction pour surveiller et mettre à jour nos bibliothèques Log4j à mesure que de nouvelles mises à jour seront disponibles et que nos tiers mettront à jour leurs bibliothèques. Looker a mis en place une surveillance et des alertes en réponse aux failles Log4j connues. Si nécessaire, nous communiquerons sur les problèmes via notre processus standard de gestion des incidents.
Comment savoir de quelle version dispose mon instance ?
Cliquez sur l'icône en forme de point d'interrogation en haut à droite de votre instance Looker. Votre numéro de version s'affiche à droite de la section "Notes de version".
| Version de la version | Version recommandée actuelle | Date de mise à jour pour les instances hébergées Looker |
21.20 |
21.20.30 et versions ultérieures |
28 et 29 décembre 2021 |
21.18 |
21.18.40 et versions ultérieures |
28 et 29 décembre 2021 |
21.16 |
21.16.43 et versions ultérieures |
28 et 29 décembre 2021 |
21.14 |
21.14.51 et versions ultérieures |
28 et 29 décembre 2021 |
21.12 |
21.12.72 et versions ultérieures |
28 et 29 décembre 2021 |
21.10 |
21.10.54 et versions ultérieures |
28 et 29 décembre 2021 |
21,8 |
21.8.55 et versions ultérieures |
28 et 29 décembre 2021 |
21,6 |
21.6.76 et versions ultérieures |
28 et 29 décembre 2021 |
21.4 |
21.4.66 et versions ultérieures |
28 et 29 décembre 2021 |
21,0 |
21.0.92 et versions ultérieures |
28 et 29 décembre 2021 |
7.20 |
7.20.77 ou version ultérieure |
28 et 29 décembre 2021 |
7.18 |
7.18.77 ou version ultérieure |
28 et 29 décembre 2021 |
7.16 |
7.16.85 et versions ultérieures |
28 et 29 décembre 2021 |
7.14 |
7.14.57 et versions ultérieures |
28 et 29 décembre 2021 |
7.12 |
N/A |
N/A |
7.10 |
7.10.77 ou version ultérieure |
28 et 29 décembre 2021 |
7,8 |
7.8.55 et versions ultérieures |
28 et 29 décembre 2021 |
7.6 |
N/A |
N/A |
7.4 |
7.4.78 ou version ultérieure |
28 et 29 décembre 2021 |
7.2 |
7.2.64 ou version ultérieure |
28 et 29 décembre 2021 |
7.0 |
7.0.58 ou version ultérieure |
28 et 29 décembre 2021 |
6.24 |
6.24.76 ou version ultérieure |
28 et 29 décembre 2021 |
1.0-6.22 |
N/A |
N/A |