解决了

log4j漏洞

  • 2021年12月12日
  • 9回复
  • 9262意见

UserLevel 2
徽章 +11
  • 开拓者
  • 20个答复

我没有注意到有关最近的Log4J漏洞(CVE-2021-44228)的任何消息或通信。Nutanix是否有一些正式公告与其产品组合有关的这种威胁的状态?

图标

最好的答案Teixeirapaulo2021年12月13日,02:36

查看原件

该主题已关闭以供评论

9回复

嘿伙计,

在此文档中,有一些有关主题的信息。

https://download.nutanix.com/alerts/security_advisory_0023.pdf

任何更新 ?PDF不会自行更新。

您好,不知何故,我错过了Nutanix的一些更新,因为现在哪些产品最终受到影响,以及应该采取哪些步骤。
坦率地说,在传播更新以及如何修复方面,其他供应商(例如VMware)做好了更好的准备

UserLevel 6
徽章 +29

HOWDY-乔恩(Jon)在这里的工程 -

该链接的PDF每天至少每天更新一次,直到我们完全驱动到地面为止。

另外,如果您在那里有一个用户帐户,则应该从支持门户网站获得电子邮件。

恕我直言,安全警报应该淘汰,这意味着您应该自动获得它们,除非您专门将其关闭,否则在这里:https://portal.nutanix.com/page/subscriptions

示例:这是我第一次出门时收到的警报的屏幕截图。

UserLevel 2
徽章 +5

乔恩,感谢您的更新。PDF对社区版本一无所知,也没有列出脆弱产品的特定版本。并非所有簇都将在最新的LTS/STS上运行。

另外,如果Prism Central(所有版本)很脆弱,这是否意味着Prism元素也很脆弱?

UserLevel 6
徽章 +29

乔恩,感谢您的更新。PDF对社区版本一无所知,也没有列出脆弱产品的特定版本。并非所有簇都将在最新的LTS/STS上运行。

另外,如果Prism Central(所有版本)很脆弱,这是否意味着Prism元素也很脆弱?

@waddles→您提出好积分,感谢您的伸出援手。

不列出特定版本:我们确实说“所有受支持的版本”,但是您是对的,我们应该更具体。具体来说,我们指的是由EOL计划定义的支持版本,此处:

个人电脑:https://download.nutanix.com/misc/pc_eol/pc_eol.pdf
AOS:https://download.nutanix.com/misc/aos_eol/aos_eol.pdf
文件:https://download.nutanix.com/misc/files_eol/files_eol.pdf
一般生活政策://www.jhbzcj.com/support-services/product-support/support-policies-and-faqs?show=accordion-0

我要求团队在SA中添加对这些链接的参考,以便每个人都清楚。

关于CE→另一个好点,它没有受到影响,我要求团队添加一条线,即AOS(CE)未受到影响。

Prism元素只是AOS的UI,因此它属于AOS行项目。我会看看我们是否也可以更清楚

UserLevel 6
徽章 +29

乔恩,感谢您的更新。PDF对社区版本一无所知,也没有列出脆弱产品的特定版本。并非所有簇都将在最新的LTS/STS上运行。

另外,如果Prism Central(所有版本)很脆弱,这是否意味着Prism元素也很脆弱?

v1.6现在发布了,该v1.6呼吁没有受到影响,现在我们已经有了指向支持版本的特定链接来澄清这一点。我们还为Prism元素添加了澄清,这全都基于您的反馈。感谢您的贡献。

干杯,

乔恩

UserLevel 2
徽章 +5

谢谢乔恩。我使用自己的扫描

$ find/-xdev -name'*.jar'2>/dev/null |XARGS -I文件SH -C“如果Zipgrep'^版本= 2'file'*log4j*'2>/dev/null;然后在文件中找到echo; fi; fi“

并发现图书馆仅在Prism Central中用于Elasticsearch。希望该命令可以用作通用搜索,以防人们需要其他应用程序。

在没有缓解策略的情况下,您能否确认仅通过经过身份验证的API调用才能访问Elasticsearch,并且在LAN地址上可访问的端口上不聆听?

UserLevel 6
徽章 +29

我会更好地做一个,根本不使用Elasticsearch,很久以前就添加了该软件包,并且从未被删除。我们将在2021.9.0.3删除

Learn more about our cookies.<\/a>","cookiepolicy.button":"Accept cookies","cookiepolicy.button.deny":"Deny all","cookiepolicy.link":"Cookie settings","cookiepolicy.modal.title":"Cookie settings","cookiepolicy.modal.content":"We use 3 different kinds of cookies. You can choose which cookies you want to accept. We need basic cookies to make this site work, therefore these are the minimum you can select. Learn more about our cookies.<\/a>","cookiepolicy.modal.level1":"Basic
Functional","cookiepolicy.modal.level2":"Normal
Functional + analytics","cookiepolicy.modal.level3":"Complete
Functional + analytics + social media + embedded videos"}}}">
Baidu