Tableau – Apache Log4j 漏洞官方建議處置

【2022/1/4 更新】Tanzu Greenplum – Apache Log4j 漏洞官方建議處置
2021-12-21
Mirantis (Docker, K8s) – 判斷是否受 Log4j 漏洞影響及官方建議處置
2021-12-22

歐立威科技整理 Tableau 官方針對本次 Log4j 漏洞的影響與建議的處置,更多關於本次漏洞訊息及其他產品處置請參考 Apache Log4j 漏洞事件說明與建議處置

【2022/1/30更新】

 

【前情提要】

2021 年 12 月 9 日,Apache Log4j 被揭漏有重大風險漏洞 Log4Shell,漏洞編號 CVE-2021-44228。駭客可以利用該漏洞發動遠端程式碼執行攻擊,最嚴重可以接管整台系統,影響範圍擴及 Apache Log4j 2 中 logging library 的多個版本,資安專家稱為近 10 年來最嚴重漏洞,研究人員也發現已經有針對該漏洞的攻擊行動。

確定被影響的產品版本

  • Tableau Server 2021.4, 2021.3.4, 2021.2.5, 2021.1.8, 2020.4.11, 2020.3.14, 2020.2.19, 2020.1.22, 2019.4.25, 2019.3.26, 2019.2.29, 2019.1.29, 2018.3.29
  • Tableau Desktop 2021.4, 2021.3.4, 2021.2.5, 2021.1.8, 2020.4.11, 2020.3.14, 2020.2.19, 2020.1.22, 2019.4.25, 2019.3.26, 2019.2.29, 2019.1.29, 2018.3.29
  • Tableau Prep Builder 2021.4.1, 2021.3.2, 2021.2.2, 2021.1.4, 2020.4.1, 2020.3.3, 2020.2.3, 2020.1.5, 2019.4.2, 2019.3.2, 2019.2.3, 2019.1.4, 2018.3.3
  • Tableau Public Desktop Client 2021.4
  • Tableau Reader 2021.4
  • Tableau Bridge 20214.21.1109.1748, 20213.21.1112.1434, 20212.21.0818.1843, 20211.21.0617.1133, 20204.21.0217.1203, 20203.20.0913.2112, 20202.20.0721.1350, 20201.20.0614.2321, 20194.20.0614.2307, 20193.20.0614.2306, 20192.19.0917.1648, 20191.19.0402.1911, 20183.19.0115.1143

如何解決漏洞?

2021 年 12 月 15 日的 Tableau 產品版本將 Log4j2 文件更新到版本 2.15。可能還有一些輔助組件需要進一步診斷,可以透過更改這些組件的設置以禁用易受攻擊的 JNDI lookup 功能來緩解。

2021/12/19 的 Tableau 版本集成了 Log4j 2.16 ,該版本預設禁用 JNDI lookup,同時解決了 CVE-2021-44228 和 CVE-2021-45046 的問題。

透過更新到 2021/12/19 以後的版本,可以解決目前在 CVE-2021-44228 和 CVE-2021-45046 中發現的安全問題。

選項 1:更新 Tableau

  • 如果您尚未從受影響的版本(2021/12/15 之前的產品版本)更新,或已更新到 2021/12/15 的產品版本,請更新到上面列出的 12/19 的其中一個版本。

選項 2:如果出現以下情況,請執行選項 2 的緩解步驟:

  • 已更新至 2021/12/15 起的版本,但無法更新至 2021/12/19 起的版本
  • 您使用的是受影響的版本(2021/12/15 之前發布的任何產品版本)但無法更新到 2021/12/19 之後的版本

各個 Tableau 產品的選項 2 緩解步驟連結:

原因:

Apache Log4j 2 庫中的安全漏洞 CVE-2021-44228CVE-2021-45046。

附加資訊:

有關 Tableau Online 的更多信息,請參閱 Salesforce Trust Site

 

文章為歐立威科技整理原廠官方文件與網路資源,並非即時更新,僅供使用者參考,使用者應自行審慎評估自身環境及官方最新建議以採取最佳行動,若需要任何技術支援歡迎聯絡我們。

參考資料: