發生什麼事?Apache Log4j 安全漏洞是什麼?
自 2021 年 12 月 10 日起,我們已揭露 Apache Log4j 2.X 中的多項安全漏洞,包括 CVE-2021-44228、CVE-2021-45046、CVE-2021-44832、CVE-2021-45105、CVE-2021-44832。這些漏洞範圍從程式庫中的重大 0 日漏洞 (可讓攻擊者執行遠端程式碼執行) 到潛在的拒絕服務攻擊問題都有,CVSS 分數也各不相同。
Looker 是否受到影響?Looker 的回應為何?
Looker 在應用程式中使用 Log4j,因此團隊已針對 Looker 的 Log4j 程式庫用途和設定進行檢查,並透過修補程式升級 Log4j 程式庫,其中至少包含 Apache Log4j 安全漏洞網站中所述的 Apache 所發布 2.17.0 以上版本。
Looker 託管的執行個體已更新至使用 Log4j 2.17.0 的 Looker 版本。第三方驅動程式依附元件已更新至第三方提供的最新版本。使用客戶代管執行個體的客戶應盡快更新執行個體,改用本頁底部列出的版本,其中包含適用於 Looker 和第三方驅動程式的 Log4j 2 更新版本。
Looker 產品和安全團隊已判定,由於 Looker 使用及設定了程式庫,因此不會受到 CVE-2021-44832 影響。
Looker 如何緩解 Log4j 安全漏洞?
Looker 已更新或發布修補版本,並使用更新版 Log4j 程式庫。一旦有新版 Log4j 程式庫推出,Looker 就會繼續按照修復程序監控及更新 Log4j 程式庫,並在第三方更新程式庫時一併更新。Looker 已針對已知的 Log4j 安全漏洞設定監控和快訊功能,並在必要時透過標準事件回應程序,與客戶討論相關問題。
如何查看執行個體的版本?
按一下 Looker 例項右上方的問號圖示。版本號碼會顯示在「發布說明」部分的右側。
| 發布版本 | 目前建議的版本 | Looker 代管執行個體的更新日期 |
21.20 |
21.20.30+ |
2021 年 12 月 28 日和 29 日 |
21.18 |
21.18.40+ |
2021 年 12 月 28 日和 29 日 |
21.16 |
21.16.43+ |
2021 年 12 月 28 日和 29 日 |
21.14 |
21.14.51+ |
2021 年 12 月 28 日和 29 日 |
21.12 |
21.12.72+ |
2021 年 12 月 28 日和 29 日 |
21.10 |
21.10.54+ |
2021 年 12 月 28 日和 29 日 |
21.8 |
21.8.55+ |
2021 年 12 月 28 日和 29 日 |
21.6 |
21.6.76+ |
2021 年 12 月 28 日和 29 日 |
21.4 |
21.4.66+ |
2021 年 12 月 28 日和 29 日 |
21.0 |
21.0.92+ |
2021 年 12 月 28 日和 29 日 |
7.20 |
7.20.77+ |
2021 年 12 月 28 日和 29 日 |
7.18 |
7.18.77+ |
2021 年 12 月 28 日和 29 日 |
7.16 |
7.16.85+ |
2021 年 12 月 28 日和 29 日 |
7.14 |
7.14.57+ |
2021 年 12 月 28 日和 29 日 |
7.12 |
不適用 |
不適用 |
7.10 |
7.10.77+ |
2021 年 12 月 28 日和 29 日 |
7.8 |
7.8.55+ |
2021 年 12 月 28 日和 29 日 |
7.6 |
不適用 |
不適用 |
7.4 |
7.4.78+ |
2021 年 12 月 28 日和 29 日 |
7.2 |
7.2.64+ |
2021 年 12 月 28 日和 29 日 |
7.0 |
7.0.58+ |
2021 年 12 月 28 日和 29 日 |
6.24 |
6.24.76+ |
2021 年 12 月 28 日和 29 日 |
1.0-6.22 |
不適用 |
不適用 |