解决了

log4j脆弱性

  • 2021年12月12日
  • 9回复
  • 7100的浏览量

Userlevel 2
徽章 + 11
  • 开拓者
  • 20个回复

我没有注意到任何关于最近的log4j漏洞(CVE-2021-44228)的消息或通信。Nutanix是否对与他们的产品组合相关的这种威胁的状态有一些正式的公告?

图标

最佳答案TeixeiraPaulo2021年12月13日02:36

查看原始

本主题已关闭供评论

9回复

嘿,伙计们,

在这个文档中有一些关于主题的信息。

https://download.nutanix.com/alerts/Security_Advisory_0023.pdf

任何更新吗?PDF不会自动更新。

你好,不知怎么的,我错过了nutanix的一些更新,关于哪些产品现在最终受影响或不受影响,以及应该采取哪些步骤。
其他供应商,比如vmware,坦白地说,在传播更新和如何修复方面准备得更好

Userlevel 6
徽章 + 29

你好,我是工程部的乔恩

在这个链接上的PDF将至少每天更新一次,直到我们把这个驱动完全接地。

此外,如果你在那里有用户帐户,你应该收到支持门户网站的大量邮件。

恕我直言,是安全警报应该out,意思是你应该自动获得它们,除非你已经明确地关闭它们,这里:https://portal.nutanix.com/page/subscriptions

例子:这是我第一次收到警报时的截图。

Userlevel 2
徽章 +5

乔恩,谢谢你的最新消息。PDF没有提到Community Edition,也没有列出易受攻击的产品的具体版本。并不是所有的集群都运行在最新的LTS/STS上。

如果Prism Central(所有版本)是脆弱的,那是否意味着Prism Element也是脆弱的?

Userlevel 6
徽章 + 29

乔恩,谢谢你的最新消息。PDF没有提到Community Edition,也没有列出易受攻击的产品的具体版本。并不是所有的集群都运行在最新的LTS/STS上。

如果Prism Central(所有版本)是脆弱的,那是否意味着Prism Element也是脆弱的?

@Waddles→你提出了很好的观点,谢谢你的帮助。

RE没有列出具体的版本:我们说“所有支持的版本”,但你是对的,我们应该更具体。我们所指的,具体来说,是由我们的EOL时间表定义的受支持的版本,在这里:

PC:https://download.nutanix.com/misc/PC_EOL/PC_EOL.pdf
代谢:https://download.nutanix.com/misc/AOS_EOL/AOS_EOL.pdf
文件:https://download.nutanix.com/misc/FILES_EOL/FILES_EOL.pdf
一般生命终止政策://www.jhbzcj.com/support-services/product-support/support-policies-and-faqs?show=accordion-0

我已经要求团队在SA中添加对这些链接的引用,以便每个人都清楚。

关于CE→另一个好点,它没有受到影响,我已经要求团队添加一行,即AOS (CE)没有受到影响。

Prism元素只是AOS的UI,所以它属于AOS行项目。我看看我们能不能把这一点讲清楚

Userlevel 6
徽章 + 29

乔恩,谢谢你的最新消息。PDF没有提到Community Edition,也没有列出易受攻击的产品的具体版本。并不是所有的集群都运行在最新的LTS/STS上。

如果Prism Central(所有版本)是脆弱的,那是否意味着Prism Element也是脆弱的?

v1.6现在发布了,它调用CE不受影响,现在我们有特定的链接到支持的版本来澄清这一点。我们还为Prism Element添加了一个澄清,这都是基于您的反馈。谢谢你的贡献。

欢呼,

乔恩

Userlevel 2
徽章 +5

感谢乔恩。我自己用

$ find / -xdev -name '*.jar' 2>/dev/null | xargs -I FILE sh -c "if zipgrep '^version=2' FILE '*log4j*' 2>/dev/null;然后echo在FILE中找到;fi”

发现这个库只在棱镜中心用于elasticsearch。希望这个命令可以作为通用搜索在人们需要它的其他应用程序中发挥作用。

在没有缓解策略的情况下,您能否确认elasticsearch只能通过经过身份验证的API调用进行访问,并且没有监听LAN地址上可访问的端口?

Userlevel 6
徽章 + 29

我将给你一个更好的,Elasticsearch根本没有被使用,那个包是很久以前添加的,从来没有被删除过。我们将在2021.9.0.3移除它

Baidu