Log4j (CVE-2021-44228、 CVE-2021-45046、CVE-2021-45105)漏洞公告
2021 年 12 月 9 日,Apache Log4j 被揭漏有重大風險漏洞 Log4Shell,漏洞編號 CVE-2021-44228。駭客可以利用該漏洞發動遠端程式碼執行攻擊,最嚴重可以接管整台系統,影響範圍擴及 Apache Log4j 2 中 logging library 的多個版本,資安專家稱為近 10 年來最嚴重漏洞,研究人員也發現已經有針對該漏洞的攻擊行動。後續又發出CVE-2021-45046、CVE-2021-45105等衍生漏洞。
漏洞編號 | 漏洞影響 |
---|---|
CVE-2021-44228 | RCE(遠程命令/代碼執行漏洞) |
CVE-2021-45046 | 阻斷服務攻擊(DOS) |
CVE-2021-45105 | 阻斷服務攻擊(DOS) |
漏洞影響WISE-PaaS產品範圍
受影響產品列表
-
WISE-IoTSuite/AppHub : 已於2021年12月31日發佈
- 本機伺服器或虛擬機器版本已於2021年12月31日發佈版本1.0.3修正,棄用log4j套件
- 私有雲或虛擬機器版本小於等於版本1.0.2將受此漏洞影響,請盡速升級
- EnSaaS版本已於2021年12月31日發佈版本1.0.2修正,棄用log4j套件
- WISE-PaaS公有雲版本小於等於版本1.0.1將受此漏洞影響,請盡速升級
- 本機伺服器或虛擬機器版本已於2021年12月31日發佈版本1.0.3修正,棄用log4j套件
-
WISE-InsightAPM : 已於2021/12/23修正
- 已於版本3.9.3修正,棄用log4j套件
- apm-push與apm-report組件使用到log4j套件
- 已於版本3.9.3修正,棄用log4j套件
無影響產品列表
- WISE-IoTSuite
- WISE-InsightAPM
- WISE-EnSaaS
- WISE-DataInsight
- WISE-AIFS
- iBuilding
用戶升級方式
-
WISE-InsightAPM
- 確認版本方式:登入WISE-InsightAPM Portal,可在選單最下方查詢版號
- 目前在HZ節點以及SA節點已經升級完成上架最新版InsightAPM,版號為3.9.3
- 公有雲客戶可通過線上升級至最新版本
- 私有雲客戶可填寫升級需求表單或直接聯繫自己的業務經理進行版本升級的相關事宜
-
WISE-IoTSuite/AppHub
- 確認版本方式:於APPHub Manager右上方點擊about,即可在最下方看到版號
- AppHub WISE-PaaS公有雲/私有雲/一體機版本:通過EnSaaS Catalog進行升級。
- AppHub 本機伺服器/虛擬機器版本:通過線上升級AppHub docker image方式進行升級。
- 升級連絡人:Jianfeng.dai@advantech.com.cn,亦可直接聯繫業務經理進行版本升級的相關事宜
- 確認版本方式:於APPHub Manager右上方點擊about,即可在最下方看到版號