And*_* Jr 15 security vulnerability
我们在许多机器上运行不同版本的 Ubuntu 操作系统(主要是版本 18 和 20)。我的问题; Ubuntu 操作系统是否受到 Log4js 中现在报告的 Log4shell 漏洞的影响?TIA
use*_*733 40
一般来说,没有。只有安装了特定 java 软件包的人才可能容易受到攻击。
deb 软件包 ( apache-log4j2) 不是 Ubuntu 默认安装的一部分。大多数易受攻击的系统运行 Web 服务器或 Java 应用程序(例如 Minecraft 服务器)。如果您没有安装服务器应用程序,那么您不太可能受到此漏洞的影响。
大多数使用 deb 软件包安装该软件的受影响用户已经收到了修复该漏洞的补丁。
Ubuntu 安全播客 #142讨论了 CVE,绝对值得一听!感谢 Ubuntu 安全团队辛勤工作的工程师,保证了我们 Ubuntu 系统的安全。
如果您使用 Snap 包将 log4j2 作为 Web 服务器或 Java 应用程序的一部分安装,请与该 Snap 的作者联系以进行安全升级。
如果您以其他方式(Appimage、Flatpak、Pip、Brew、编译等)将 log4j2 作为 Web 服务器或 Java 应用程序的一部分安装,那么您可以返回该源并找到修补版本...或阅读用于手动缓解设置的CVE。
如果您安装了由许多相互关联的应用程序组成的整个软件堆栈或平台,那么易受攻击的软件可能会嵌入该堆栈中。请查阅您获得该信息的来源。
来自https://ubuntu.com/security/notices/USN-5192-1
发布
Ubuntu 21.10 Ubuntu 21.04 Ubuntu 20.04 LTS Ubuntu 18.04 LTS软件包
apache-log4j2 - Apache Log4j - Java 日志框架
...和...
更新说明 通过将系统更新到以下软件包版本可以解决该问题:
让我们为 deb 包用户扩展一下:
如何判断您是否受到影响
只需询问 apt:
me@me:~$ apt list apache-log4j2
可能的结果有以下三种:
Listing... Done
me@me:~$ <-- No output at all. It's not installed.
You're not vulnerable.
apache-log4j2/focal,now 2.11.2-1 amd64 <-- It's available, but NOT installed.
You're not vulnerable.
apache-log4j2/focal,now 2.11.2-1 amd64 [installed] <-- It's installed
You MIGHT be vulnerable.
如果你不脆弱,你可以到此为止。
如果您可能容易受到攻击,那么接下来要查看的是该字符串返回的包版本。
Ubuntu 18.04
apache-log4j2/bionic,now 2.10.0-2 amd64 [installed] Vulnerable
apache-log4j2/bionic,now 2.10.0-2ubuntu0.1 amd64 [installed] NOT Vulnerable
Ubuntu 20.04
apache-log4j2/focal,now 2.11.2-1 amd64 [installed] Vulnerable
apache-log4j2/focal,now 2.15.0-0.20.04.1 amd64 [installed] NOT Vulnerable
Ubuntu 21.04
apache-log4j2/hirsute,now 2.13.3-1 amd64 [installed] Vulnerable
apache-log4j2/hirsute,now 2.15.0-0.21.04.1 amd64 [installed] NOT Vulnerable
Ubuntu 21.10
apache-log4j2/impish,now 2.13.3-1 amd64 [installed] Vulnerable
apache-log4j2/impish,now 2.15.0-0.21.10.1 amd64 [installed] NOT Vulnerable
Ubuntu 安全团队已经修补了不存在漏洞的版本。大多数人已经通过无人值守升级收到了修补版本。
如果您的系统存在漏洞,那么sudo apt update只需sudo apt upgrade最新的安全升级即可。
关于 Snap: 未修补的 log4j2 可能驻留在某些 Snap 包中。