Aggiornamenti di Looker relativi a Log4j 2

Che cosa è successo / Che cos'è la vulnerabilità di Apache Log4j?

A partire dal 10 dicembre 2021 sono state rese note diverse vulnerabilità di sicurezza in Apache Log4j 2.X, tra cui CVE-2021-44228, CVE-2021-45046, CVE-2021-44832, CVE-2021-45105, CVE-2021-44832. Le vulnerabilità vanno da un exploit zero-day critico nella libreria che può consentire agli utenti malintenzionati di eseguire l'esecuzione di codice da remoto (RCE) a potenziali problemi di DOS, il tutto con diversi livelli di punteggi CVSS.

Looker è interessato? Come ha risposto Looker?

Looker utilizza Log4j nella sua applicazione e il team ha risolto la vulnerabilità esaminando l'utilizzo e la configurazione delle librerie Log4j di Looker ed eseguendo l'upgrade delle librerie Log4j con una patch che include almeno la versione 2.17.0 rilasciata da Apache, come indicato nel sito web Apache Log4j Security Vulnerabilities.

Le istanze ospitate da Looker sono state aggiornate a una versione di Looker che utilizza Log4j 2.17.0. Le dipendenze dei driver di terze parti sono state aggiornate alla versione più aggiornata fornita dalle terze parti. I clienti che utilizzano istanze ospitate dal cliente devono aggiornare la propria istanza il prima possibile a una versione elencata nella parte inferiore di questa pagina che contiene queste versioni aggiornate di Log4j 2 per Looker e driver di terze parti.

I team di prodotto e sicurezza di Looker hanno stabilito che Looker non è vulnerabile alla CVE-2021-44832 a causa del nostro utilizzo e della configurazione della libreria.

In che modo Looker ha mitigato la vulnerabilità Log4j?

Looker ha aggiornato o rilasciato versioni con patch con librerie Log4j aggiornate. Looker continuerà a seguire una procedura di correzione per monitorare e aggiornare le nostre librerie Log4j man mano che diventano disponibili nuovi aggiornamenti e le terze parti aggiornano le proprie librerie. Looker ha configurato il monitoraggio e gli avvisi in risposta alle vulnerabilità note di Log4j e, se necessario, comunicheremo i problemi tramite la nostra procedura standard di risposta agli incidenti.

Come faccio a sapere su quale versione è basata la mia istanza?

Fai clic sull'icona a forma di punto interrogativo nella sezione in alto a destra dell'istanza di Looker. Il numero di versione verrà visualizzato a destra della sezione Note di rilascio.