O que aconteceu / O que é a vulnerabilidade do Apache Log4j?
Várias vulnerabilidades de segurança no Apache Log4j 2.X, incluindo CVE-2021-44228,CVE-2021-45046,CVE-2021-44832,CVE-2021-45105, CVE-2021-44832, foram divulgadas a partir de 10 de dezembro de 2021. As vulnerabilidades variam de um exploit crítico de dia zero na biblioteca que pode permitir que invasores realizem a execução remota de código (RCE) a possíveis problemas de negação de serviço, todos com níveis variados de pontuações CVSS.
O Looker foi afetado? Como o Looker respondeu?
O Looker usa o Log4j no aplicativo, e a equipe resolveu a vulnerabilidade analisando o uso e a configuração do Looker nas bibliotecas do Log4j e atualizando as bibliotecas com um patch que inclui pelo menos a versão 2.17.0 lançada pelo Apache, conforme indicado no site Vulnerabilidades de segurança do Apache Log4j.
As instâncias hospedadas pelo Looker foram atualizadas com uma versão que usa o Log4j 2.17.0. As dependências de drivers de terceiros foram atualizadas para a versão mais recente fornecida pelos terceiros. Os clientes em instâncias hospedadas pelo cliente precisam atualizar a instância o mais rápido possível para uma versão listada na parte de baixo desta página, que contém essas versões atualizadas do Log4j 2 para o Looker e drivers de terceiros.
As equipes de produto e segurança do Looker determinaram que ele não é vulnerável ao CVE-2021-44832 devido ao uso e à configuração da biblioteca.
Como o Looker mitigou a vulnerabilidade do Log4j?
O Looker atualizou ou lançou versões corrigidas com bibliotecas Log4j atualizadas. O Looker vai continuar seguindo um processo de correção para monitorar e atualizar nossas bibliotecas do Log4j à medida que novas atualizações forem disponibilizadas e que terceiros atualizarem as bibliotecas deles. O Looker configurou o monitoramento e os alertas em resposta às vulnerabilidades conhecidas do Log4j. Se necessário, vamos comunicar os problemas usando nosso processo padrão de resposta a incidentes.
Como posso saber qual é a versão da minha instância?
Clique no ícone de ponto de interrogação na seção superior direita da sua instância do Looker. O número da versão vai aparecer à direita da seção "Notas da versão".
| Versão de lançamento | Versão recomendada atual | Data da atualização para instâncias hospedadas do Looker |
21.20 |
21.20.30+ |
28 e 29 de dezembro de 2021 |
21.18 |
21.18.40+ |
28 e 29 de dezembro de 2021 |
21.16 |
21.16.43+ |
28 e 29 de dezembro de 2021 |
21.14 |
21.14.51+ |
28 e 29 de dezembro de 2021 |
21.12 |
21.12.72+ |
28 e 29 de dezembro de 2021 |
21.10 |
21.10.54+ |
28 e 29 de dezembro de 2021 |
21.8 |
21.8.55+ |
28 e 29 de dezembro de 2021 |
21.6 |
21.6.76+ |
28 e 29 de dezembro de 2021 |
21.4 |
21.4.66+ |
28 e 29 de dezembro de 2021 |
21.0 |
21.0.92+ |
28 e 29 de dezembro de 2021 |
7,20 |
7.20.77+ |
28 e 29 de dezembro de 2021 |
7.18 |
7.18.77+ |
28 e 29 de dezembro de 2021 |
7.16 |
7.16.85+ |
28 e 29 de dezembro de 2021 |
7,14 |
7.14.57+ |
28 e 29 de dezembro de 2021 |
7,12 |
N/A |
N/A |
7.10 |
7.10.77+ |
28 e 29 de dezembro de 2021 |
7,80 |
7.8.55+ |
28 e 29 de dezembro de 2021 |
7,6 |
N/A |
N/A |
7.4 |
7.4.78+ |
28 e 29 de dezembro de 2021 |
7.2 |
7.2.64+ |
28 e 29 de dezembro de 2021 |
7.0 |
7.0.58+ |
28 e 29 de dezembro de 2021 |
6.24 |
6.24.76+ |
28 e 29 de dezembro de 2021 |
1.0-6.22 |
N/A |
N/A |