注:OPSWAT 将继续更新本博文,并随时提供更多信息
最新情况 - Dec.24, 2021 - 12:30 PM EST
在继续监控围绕 CVE-2021-44228 的更新和发展的同时,我们注意到 CVE 2021-45105 中概述的最新指导,该指导表明 Apache Log4j2 2.0-alpha1 至 2.16.0 版本(不包括 2.12.3)可能无法防止来自自参照查找的不受控递归,这可能导致拒绝服务。
如果发生任何变化,或者我们的评估发生变化,我们将继续通过博客进行通知。
如果您有任何其他问题或疑虑,请通过我们的任何支持渠道与我们联系。
最新情况 - Dec.15, 2021 - 5 pm est
在继续监控围绕 CVE-2021-44228 的更新和发展的同时,我们了解到 CVE 2021-45046 中概述的最新指导,该指导解决了某些非默认配置中 Apache log4j 2.15.0 的不完整修复问题。
如果发生任何变化,或者我们的评估发生变化,我们将继续通过博客进行通知。
如果您有任何其他问题或疑虑,请通过我们的任何支持渠道与我们联系。
更新 - 美国东部时间 2021 年 12 月 14 日下午 2 点
OPSWAT 已完成对可能受 log4j 漏洞影响的所有OPSWAT 产品的全面分析,未发现任何会影响安全使用任何OPSWAT 产品或服务的漏洞。
产品建议或配置已通知MetaDefender AccessCloud、My OPSWAT 和MetaDefender NAC 客户,并在本博客上更新。目前没有任何产品建议或配置适用于我们的任何其他产品。
如果您有任何其他问题或疑虑,请通过我们的任何支持渠道与我们联系。
更新 - 美国东部时间 2021 年 12 月 13 日下午 5 点
我们一直在审查所有OPSWAT 技术和软件包,以确定是否有任何技术和软件包可能会受到此漏洞的攻击。
我们发现My OPSWAT (OCM) 将 Apache log4j 库作为其依赖项之一,但需要注意的是,OPSWAT 目前尚未发现任何会影响OPSWAT 产品或服务安全使用的 log4j 漏洞暴露。
我们建议运行7.16 版或更早版本 OCM 的客户升级到 7.17 版或更新版本,并应用建议的配置更改,以缓解这一特定漏洞以及将来可能针对 JNDI 相关 log4j 功能的其他漏洞。 缓解配置更改说明可在本知识库文章中找到。
如果您有任何具体问题,请在我们的客户门户网站上打开支持案例并告知我们。
如果发生任何变更,评估发生变化,我们将继续通过电子邮件和博客进行通知。
更新 - 美国东部时间 2021 年 12 月 13 日中午 12 点
自 2021 年 12 月 12 日更新我们针对 CVE-2021-44228 (也称为 log4j 漏洞)采取的行动以来,我们一直在积极审查所有OPSWAT 技术和软件包,以确定是否有任何技术和软件包可能会受到此漏洞的攻击。
以下是我们为降低 log4j 漏洞利用的风险而采取的措施:
- MetaDefender AccessCloud:由于在 Apache log4j 日志库中发现的零日漏洞(CVE-2021-44228)可使攻击者控制易受攻击的服务器,出于谨慎起见,我们已应用了建议的配置更改,以减少此特定漏洞以及将来可能针对 JNDI 相关 Log4j 功能的其他漏洞的可能性。客户无需采取进一步行动。这项工作已经完成,对用户没有影响。
如果我们确定任何其他OPSWAT 技术或软件包可能存在漏洞,我们将通知所有受影响的客户,并进行任何必要的配置更改或更新。
值得注意的是,在本次更新时,OPSWAT 尚未发现任何会影响安全使用任何OPSWAT 产品或服务的 log4j 漏洞。
如果评估结果发生变化,我们将直接更新受影响的客户。
如果您想了解有关此特定漏洞的更多信息,除了 NIST 的文章外,SANS Internet Storm Center 也在SANS Internet Storm Center 发布了一份全面的概述。我们将在美国东部时间下午 5:00 更新我们的审查结果。
更新-美国东部时间 2021 年 12 月 12 日晚上 9:45
2021 年 12 月 10 日星期五,我们与技术社区的其他成员一起收到消息称,基于 java 的软件(称为 log4j)的一个常用组件中存在一个此前未知的零日漏洞(CVE-2021-44228),该漏洞已被主动利用。
自接到通知以来,我们一直在积极审查所有OPSWAT 技术和软件包,以确定是否有任何技术和软件包可能会受到此漏洞的攻击。如果我们确定任何OPSWAT 技术或软件包可能存在漏洞,我们将通知所有受影响的客户,并进行任何必要的配置更改或更新。
我们将尽快完成审查工作。值得注意的是,截至目前,OPSWAT 尚未评估出任何会影响OPSWAT 产品安全使用的 log4j 漏洞。如果评估结果发生变化,我们将直接向受影响的客户提供最新信息。
我们将于美国东部时间 12 月 13 日 12:00PM 更新我们的审核结果。如果您有任何其他问题或疑虑希望在此之前得到解决,请通过我们的任何支持渠道联系我们。
如果您想更多地了解这一特定漏洞,除了 NIST 的报道外,SANS 互联网风暴中心也在SANS 互联网风暴中心发布了一份全面的概述。
感谢您一直以来的合作与支持!
