Log4j 2-Looker-Updates

Was ist passiert? / Was ist die Sicherheitslücke in Apache Log4j?

Seit Dezember 2021 wurden mehrere Sicherheitslücken in Apache Log4j 2.X bekannt gegeben, darunter CVE-2021-44228, CVE-2021-45046, CVE-2021-44832, CVE-2021-45105 und CVE-2021-4483220 20. Die Sicherheitslücken reichen von einem kritischen 0-tägigen Exploit in der Bibliothek, der es Angreifern ermöglicht, Remote Code Execution (RCE) auszuführen, bis hin zu potenziellen DOS-Bedenken, alle mit unterschiedlichen CVSS-Werten.

Ist Looker betroffen? Wie hat Looker reagiert?

Looker verwendet Log4j in seiner Anwendung. Das Team hat die Sicherheitslücke behoben, indem es die Nutzung und Konfiguration der Log4j-Bibliotheken in Looker überprüft und die Log4j-Bibliotheken mit einem Patch aktualisiert hat, der mindestens Version 2.17.0 enthält, der von Apache veröffentlicht wurde, wie auf der Website zu Apache Log4j-Sicherheitslücken angegeben.

Von Looker gehostete Instanzen wurden mit einer Looker-Version aktualisiert, die Log4j 2.17.0 verwendet. Treiberabhängigkeiten von Drittanbietern wurden auf die neueste Version aktualisiert, die von den Drittanbietern bereitgestellt wird. Kunden mit vom Kunden gehosteten Instanzen sollten ihre Instanz so bald wie möglich auf die unten auf dieser Seite aufgeführte Version aktualisieren, die diese aktualisierten Versionen von Log4j 2 für Looker und Treiber von Drittanbietern enthält.

Die Produkt- und Sicherheitsteams von Looker haben festgestellt, dass Looker aufgrund der Nutzung und Konfiguration der Bibliothek nicht anfällig für CVE-2021-44832 ist.

Wie hat Looker die Log4j-Sicherheitslücke geschlossen?

Looker hat gepatchte Versionen mit aktualisierten Log4j-Bibliotheken aktualisiert oder veröffentlicht.Looker wird weiterhin einen Problembehebungsprozess folgen, um unsere Log4j-Bibliotheken zu überwachen und zu aktualisieren, sobald neue Updates verfügbar sind und wenn unsere Drittanbieter ihre Bibliotheken aktualisieren. Looker hat Monitoring und Benachrichtigungen als Reaktion auf die bekannten Log4j-Sicherheitslücken eingerichtet. Bei Bedarf werden wir über unseren Standardprozess für die Reaktion auf Vorfälle kommunizieren.

Wie finde ich heraus, welche Version meine Instanz verwendet?

Klicken Sie rechts oben in der Looker-Instanz auf das Fragezeichensymbol. Die Versionsnummer wird rechts neben dem Abschnitt mit Release Notes angezeigt.