เราใช้งาน Ubuntu OS หลายเวอร์ชัน (ส่วนใหญ่เป็นเวอร์ชัน 18 และ 20) ในหลายเครื่อง คำถามของฉัน; Ubuntu OS ได้รับผลกระทบจากช่องโหว่ Log4shell ที่รายงานใน log4js หรือไม่ ทีไอเอ
โดยทั่วไป ไม่. เฉพาะผู้ที่มีการติดตั้งแพ็คเกจจาวาเฉพาะเท่านั้นที่อาจมีความเสี่ยง
แพ็คเกจ deb (apache-log4j2) ไม่ได้เป็นส่วนหนึ่งของการติดตั้ง Ubuntu ในสต็อก ระบบที่มีช่องโหว่ส่วนใหญ่จะเรียกใช้ทั้งเว็บเซิร์ฟเวอร์หรือแอปพลิเคชันจาวา (เช่น เซิร์ฟเวอร์ Minecraft) หากคุณไม่ได้ติดตั้งแอปพลิเคชันเซิร์ฟเวอร์ คุณก็ไม่น่าจะได้รับผลกระทบจากช่องโหว่นี้
ผู้ที่ได้รับผลกระทบส่วนใหญ่ที่ติดตั้งซอฟต์แวร์โดยใช้แพ็คเกจ deb ได้รับแพตช์เพื่อปิดช่องโหว่แล้ว
พอดคาสต์ความปลอดภัยของอูบุนตู #142 กล่าวถึง CVE และคุ้มค่าที่จะฟังอย่างแน่นอน! ขอบคุณวิศวกรที่ทำงานหนักในทีมความปลอดภัยของ Ubuntu ที่ทำให้ระบบ Ubuntu ของเราปลอดภัย
หากคุณติดตั้ง log4j2 เป็นส่วนหนึ่งของเว็บเซิร์ฟเวอร์หรือแอปพลิเคชันจาวาโดยใช้แพ็คเกจ Snap ให้ตรวจสอบกับผู้เขียนของ snap นั้นเพื่ออัพเกรดความปลอดภัย
หากคุณติดตั้ง log4j2 เป็นส่วนหนึ่งของเว็บเซิร์ฟเวอร์หรือแอปพลิเคชันจาวาด้วยวิธีอื่น (Appimage, Flatpak, Pip, Brew, คอมไพล์ ฯลฯ) ก็ขึ้นอยู่กับคุณแล้วที่จะกลับไปที่แหล่งที่มานั้นและค้นหาเวอร์ชันที่แพตช์...หรืออ่าน CVE สำหรับการตั้งค่าการบรรเทาด้วยตนเอง
หากคุณได้ติดตั้งชุดซอฟต์แวร์หรือแพลตฟอร์มทั้งหมดซึ่งประกอบด้วยแอปพลิเคชันที่สัมพันธ์กันจำนวนมาก เป็นไปได้ว่าซอฟต์แวร์ที่มีช่องโหว่อาจถูกฝังอยู่ในชุดดังกล่าว ปรึกษาแหล่งที่มาที่คุณได้รับจาก
จาก https://ubuntu.com/security/notices/USN-5192-1
เผยแพร่
อูบุนตู 21.10 อูบุนตู 21.04 อูบุนตู 20.04 LTS อูบุนตู 18.04 LTSแพ็คเกจ
apache-log4j2 - Apache Log4j - กรอบการบันทึกสำหรับ Java
...และ...
ปรับปรุงคำแนะนำ ปัญหาสามารถแก้ไขได้โดยการอัปเดตระบบของคุณเป็นเวอร์ชันแพ็คเกจต่อไปนี้:
มาขยายความกันเล็กน้อยสำหรับผู้ใช้แพ็คเกจ deb:
จะบอกได้อย่างไรว่าคุณได้รับผลกระทบ
เพียงถาม apt:
me@me:~$ รายการ apt apache-log4j2
มีสามผลลัพธ์ที่เป็นไปได้:
รายการ...เรียบร้อย
me@me:~$ <-- ไม่มีเอาต์พุตเลย มันไม่ได้ติดตั้ง
คุณไม่อ่อนแอ
apache-log4j2/focal ตอนนี้ 2.11.2-1 amd64 <-- ใช้งานได้ แต่ไม่ได้ติดตั้ง
คุณไม่อ่อนแอ
apache-log4j2/focal ตอนนี้ 2.11.2-1 amd64 [ติดตั้งแล้ว] <-- ติดตั้งแล้ว
คุณอาจมีความเสี่ยง
หากคุณไม่เสี่ยง คุณสามารถหยุดที่นี่
หากคุณอาจจะอ่อนแอสิ่งต่อไปที่ต้องดูคือเวอร์ชันแพ็คเกจที่ส่งคืนโดยสตริงนั้น
อูบุนตู 18.04
apache-log4j2/bionic ตอนนี้ 2.10.0-2 amd64 [ติดตั้งแล้ว] มีช่องโหว่
apache-log4j2/bionic ตอนนี้ 2.10.0-2ubuntu0.1 amd64 [ติดตั้งแล้ว] ไม่เสี่ยง
อูบุนตู 20.04
apache-log4j2/focal ตอนนี้ 2.11.2-1 amd64 [ติดตั้งแล้ว] มีช่องโหว่
apache-log4j2/focal ตอนนี้ 2.15.0-0.20.04.1 amd64 [ติดตั้งแล้ว] ไม่เสี่ยง
อูบุนตู 21.04
apache-log4j2/hirsute ตอนนี้ 2.13.3-1 amd64 [ติดตั้งแล้ว] มีช่องโหว่
apache-log4j2/hirsute ตอนนี้ 2.15.0-0.21.04.1 amd64 [ติดตั้งแล้ว] ไม่เสี่ยง
อูบุนตู 21.10
apache-log4j2/impish ตอนนี้ 2.13.3-1 amd64 [ติดตั้งแล้ว] มีช่องโหว่
apache-log4j2/impish ตอนนี้ 2.15.0-0.21.10.1 amd64 [ติดตั้งแล้ว] ไม่เสี่ยง
เวอร์ชันที่ไม่มีช่องโหว่ได้รับการแก้ไขโดยทีมความปลอดภัยของ Ubuntu แล้ว คนส่วนใหญ่ได้รับเวอร์ชันแพตช์แล้วผ่านการอัปเกรดแบบไม่ต้องใส่ข้อมูล
หากระบบของคุณมีช่องโหว่จากนั้นเพียงแค่ อัปเดต sudo apt และ sudo apt อัพเกรด เพื่อดึงการอัพเกรดความปลอดภัยล่าสุด
เกี่ยวกับ Snap: อาจเป็นไปได้ที่ log4j2 ที่ไม่ได้แพตช์จะอยู่ภายในแพ็คเกจสแน็ปอิน
แอปพลิเคชั่นบางตัวฝังโค้ด log4j ไว้ในไฟล์จาวาของตัวเอง และการสแกนชื่อไฟล์หรือแพ็คเกจอย่างง่ายจะไม่พบโค้ดที่ฝังอยู่ US-CERT ได้เปิดตัวเครื่องสแกนที่ดีมากซึ่งดูภายในไฟล์ .jar/.war/.ear เพื่อค้นหารหัส log4j ที่มีช่องโหว่ เครื่องสแกนนี้พบแอปพลิเคชันที่ไม่เกี่ยวข้องสองรายการบนเซิร์ฟเวอร์ของเราซึ่งมีรหัส log4j ที่มีช่องโหว่ สามารถดูเครื่องสแกน US-CERT ได้ที่: https://github.com/CERTCC/CVE-2021-44228_scanner
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
