发生了什么 / 什么是 Apache Log4j 漏洞?
自 2021 年 12 月 10 日起,Apache Log4j 2.X 中的多个安全漏洞(包括 CVE-2021-44228、CVE-2021-45046、CVE-2021-44832、CVE-2021-45105、CVE-2021-44832)已披露。这些漏洞包括库中的一个严重的零日漏洞(可让攻击者执行远程代码执行 [RCE])和潜在的 DOS 问题,CVSS 评分各不相同。
Looker 是否会受到影响?Looker 如何响应?
Looker 在其应用中使用 Log4j,该团队通过检查 Looker 对 Log4j 库的使用和配置,并使用至少包含 Apache 发布的 2.17.0 版本的补丁升级 Log4j 库,解决了该漏洞,如 Apache Log4j 安全漏洞网站所述。
Looker 托管的实例已更新为使用 Log4j 2.17.0 的 Looker 版本。第三方驱动程序依赖项已更新为第三方提供的最新版本。使用客户托管实例的客户应尽快更新其实例,将其更新为此页面底部列出的版本,其中包含适用于 Looker 和第三方驱动程序的这些更新版 Log4j 2。
Looker 产品和安全团队已确定,由于我们对该库的使用和配置,Looker 不易受到 CVE-2021-44832 的影响。
Looker 如何缓解 Log4j 漏洞?
Looker 已更新或发布了使用更新后的 Log4j 库的补丁版本。随着有新更新发布以及第三方更新其库,Looker 将继续按照补救流程监控和更新我们的 Log4j 库。Looker 已设置监控和提醒功能,以应对已知的 Log4j 漏洞。如果需要,我们会通过标准突发事件响应流程沟通问题。
如何查看实例的版本?
点击 Looker 实例右上角的问号图标。 您的版本号将显示在“版本说明”部分的右侧。
| 发布版本 | 当前推荐版本 | Looker 托管实例的更新日期 |
21.20 |
21.20.30+ |
2021 年 12 月 28 日和 29 日 |
21.18 |
21.18.40+ |
2021 年 12 月 28 日和 29 日 |
21.16 |
21.16.43+ |
2021 年 12 月 28 日和 29 日 |
21.14 |
21.14.51+ |
2021 年 12 月 28 日和 29 日 |
21.12 |
21.12.72+ |
2021 年 12 月 28 日和 29 日 |
21.10 |
21.10.54+ |
2021 年 12 月 28 日和 29 日 |
21.8 |
21.8.55+ |
2021 年 12 月 28 日和 29 日 |
21.6 |
21.6.76+ |
2021 年 12 月 28 日和 29 日 |
21.4 |
21.4.66+ |
2021 年 12 月 28 日和 29 日 |
21.0 |
21.0.92 及更高版本 |
2021 年 12 月 28 日和 29 日 |
7.20 |
7.20.77+ |
2021 年 12 月 28 日和 29 日 |
7.18 |
7.18.77+ |
2021 年 12 月 28 日和 29 日 |
7.16 |
7.16.85+ |
2021 年 12 月 28 日和 29 日 |
7.14 |
7.14.57+ |
2021 年 12 月 28 日和 29 日 |
7.12 |
不适用 |
不适用 |
7.10 |
7.10.77 及更高版本 |
2021 年 12 月 28 日和 29 日 |
7.8 |
7.8.55+ |
2021 年 12 月 28 日和 29 日 |
7.6 |
不适用 |
不适用 |
7.4 |
7.4.78+ |
2021 年 12 月 28 日和 29 日 |
7.2 |
7.2.64 及更高版本 |
2021 年 12 月 28 日和 29 日 |
7.0 |
7.0.58+ |
2021 年 12 月 28 日和 29 日 |
6.24 |
6.24.76+ |
2021 年 12 月 28 日和 29 日 |
1.0-6.22 |
不适用 |
不适用 |