【2022/1/4 更新】Tanzu Greenplum – Apache Log4j 漏洞官方建議處置
歐立威科技整理 Tanzu Greenplum 官方針對本次 Log4j 漏洞的影響與建議的處置,更多關於本次漏洞訊息及其他產品處置請參考 Apache Log4j 漏洞事件說明與建議處置。
【2022/1/4 更新】
漏洞 CVE-2021-44228 和 CVE-2021-45046 不會影響 Tanzu Greenplum (任何版本) 的核心功能,但會影響以下附加產品:
- Platform Extension Framework (PXF)
較多人使用的 PXF 5.x (附帶 log4j-1.2.17.jar),Log4J v1 不受 CVE 影響,因此無需採取任何措施。但如果您仍想降低風險,請升級到 PXF 6.2.0,然後對 PXF 6 應用緩解措施。
- Tanzu Greenplum Text (GPText)
若您使用的是 Tanzu Greenplum 並且沒有使用上述兩個組件,則不會受到影響。
此漏洞對 VMware 產品的影響請參考 VMware Response to CVE-2021-44228: Apache Log4j Remote Code Execution (87068)
如何解決漏洞?
VMware 已經發布了 PXF 6.2.1 和 GPText 3.8.1,它們在最新的 VMware Tanzu Greenplum 版本 (5.29.2 和 6.19.0) 中已經可以使用。這兩個版本將 Apache Log4J 組件更新到 2.16.0,解決 CVE-2021-44228 和 CVE-2021-45046。
如果您無法升級到 PXF 6.2.1 或 GPText 3.8.1,請參考原廠建議的解決方法來降低此漏洞的風險。
本文章為歐立威科技整理原廠官方文件與網路資源,並非即時更新,僅供使用者參考,使用者應自行審慎評估自身環境及官方最新建議以採取最佳行動,若需要任何技術支援歡迎聯絡我們。
參考資料:
