ภาพรวมช่องโหว่ Apache Log4j
ช่องโหว่ Apache Log4j (CVE-2021-44228) ได้รับการเผยแพร่แล้ว คาดว่า 1/3 ของเซิร์ฟเวอร์ทั่วโลกจะได้รับผลกระทบ (จาก WBS เมื่อวันที่ 15/12)
ในระบบที่ส่งออกค่าอินพุตและข้อมูลของผู้ใช้ไปยังบันทึก หากผู้ใช้ภายนอกที่เป็นอันตรายโจมตี รหัสระยะไกลอาจถูกเรียกใช้งาน
แม้ว่าจะใช้มาตรการรับมือตั้งแต่วันที่ 12/58 แต่เราได้รับข้อมูลจาก IPA และแหล่งอื่นๆ ที่จำเป็นต้องมีมาตรการเพิ่มเติมทุกวัน ซึ่งทำให้เกิดความสับสน นอกเหนือจากการอัปเดต Log4j ให้เป็นเวอร์ชันล่าสุดแล้ว เรายังปรับใช้มาตรการรับมือทั้งหมดอย่างครอบคลุม รวมถึงการลบคลาส JndiLookup ซึ่งเป็นสาเหตุที่แท้จริงออกจากคลาสพาธ
สินค้าที่ได้รับผลกระทบและการตอบรับ
Chat&Messenger เดสก์ท็อป เว็บแอป แอพมือถือ
ไม่มีผลกระทบ (ไม่ใช้ไลบรารีที่เกี่ยวข้องรวมถึงเวอร์ชันที่ผ่านมา)
CAMServer ภายในองค์กร
CAMServer ภายในองค์กร เริ่มเซิร์ฟเวอร์วิดีโอใช่ถ้าคุณเป็น
มีการพึ่งพาไลบรารีที่เกี่ยวข้องบนเซิร์ฟเวอร์วิดีโอการประชุมทางเว็บ แต่กระบวนการส่งออกข้อมูลผู้ใช้ไปยังบันทึกไม่เกี่ยวข้อง เราได้แจ้งเจ้าหน้าที่ระบบแล้ว และจะให้การสนับสนุนการอัพเกรดเวอร์ชันและการสนับสนุนอื่นๆ
เซิร์ฟเวอร์คลาวด์ Chat&Messenger
มีการพึ่งพาไลบรารีที่เกี่ยวข้องบนเซิร์ฟเวอร์วิดีโอการประชุมทางเว็บบนคลาวด์ของเรา แต่กระบวนการส่งออกข้อมูลผู้ใช้ไปยังบันทึกไม่เกี่ยวข้อง
การอัปเดตมีผลกับเซิร์ฟเวอร์วิดีโอเมื่อวันที่ 12/14