【2022/1/4 更新】Tanzu Greenplum – Apache Log4j 漏洞官方建議處置

Cloudera – Apache Log4j 漏洞官方建議處置
2021-12-21
Tableau – Apache Log4j 漏洞官方建議處置
2021-12-22

歐立威科技整理 Tanzu Greenplum 官方針對本次 Log4j 漏洞的影響與建議的處置,更多關於本次漏洞訊息及其他產品處置請參考 Apache Log4j 漏洞事件說明與建議處置

【2022/1/4 更新】

漏洞 CVE-2021-44228 和 CVE-2021-45046 不會影響 Tanzu Greenplum (任何版本) 的核心功能,但會影響以下附加產品:

  • Platform Extension Framework (PXF)
    較多人使用的 PXF 5.x (附帶 log4j-1.2.17.jar),Log4J v1 不受 CVE 影響,因此無需採取任何措施。但如果您仍想降低風險,請升級到 PXF 6.2.0,然後對 PXF 6 應用緩解措施。
  • Tanzu Greenplum Text (GPText)

若您使用的是 Tanzu Greenplum 並且沒有使用上述兩個組件,則不會受到影響。

此漏洞對 VMware 產品的影響請參考  VMware Response to CVE-2021-44228: Apache Log4j Remote Code Execution (87068)

如何解決漏洞?

VMware 已經發布了 PXF 6.2.1 和 GPText 3.8.1,它們在最新的 VMware Tanzu Greenplum 版本 (5.29.2 和 6.19.0) 中已經可以使用。這兩個版本將 Apache Log4J 組件更新到 2.16.0,解決 CVE-2021-44228 和 CVE-2021-45046。

如果您無法升級到 PXF 6.2.1 或 GPText 3.8.1,請參考原廠建議的解決方法來降低此漏洞的風險。


本文章為歐立威科技整理原廠官方文件與網路資源,並非即時更新,僅供使用者參考,使用者應自行審慎評估自身環境及官方最新建議以採取最佳行動,若需要任何技術支援歡迎聯絡我們。

參考資料: