Log4j 2 Looker 最新动态

发生了什么情况 / Apache Log4j 漏洞是什么？

自 12 月 11 日起，我们已披露 Apache Log4j 2.X 中的多个安全漏洞，包括 CVE-2021-44228、CVE-2021-45046、CVE-2021-44832、CVE-2021-45105、CVE-2021-44832。这些漏洞包括可利用库中可能允许攻击者执行远程代码执行 (RCE) 的严重 0 天漏洞攻击，以及潜在的 DOS 攻击，且所有这些漏洞的 CVSS 得分各不相同。

Looker 是否受到影响？Looker 对此有何反应？

Looker 在其应用中使用 Log4j，该团队查看了 Looker 的 Log4j 库使用情况和配置，并使用包含 Apache 发布的至少 2.17.0 版本的补丁来升级 Log4j 库，从而解决了该漏洞，如 Apache Log4j 安全漏洞网站上所述。

Looker 托管的实例已更新为采用 Log4j 2.17.0 的 Looker 版本。第三方驱动程序依赖项已更新至第三方提供的最新版本。使用客户托管实例的客户应尽快将其实例更新到本页面底部列出的版本，其中包含这些适用于 Looker 和第三方驱动程序的 Log4j 2 更新版本。

由于我们使用和配置了该库，Looker 产品和安全团队已确定 Looker 不易受到 CVE-2021-44832 的攻击。

Looker 如何缓解 Log4j 漏洞？

Looker 已更新或发布了包含更新的 Log4j 库的修补版本。当有新的更新可用以及我们的第三方更新其库时，Looker 将继续按照修复流程监控和更新 Log4j 库。Looker 设置了监控和提醒来应对已知的 Log4j 漏洞，如有需要，我们会通过标准的突发事件响应流程就问题进行沟通。

如何查看我的实例运行的版本？

点击 Looker 实例右上角的问号图标。 您的版本号将显示在“版本说明”部分的右侧。