În general, nu. Numai cei care au instalat un anumit pachet java ar putea fi vulnerabili.
Pachetul deb (apache-log4j2) nu face parte dintr-o instalare Ubuntu stoc. Cele mai multe sisteme vulnerabile rulează fie servere web, fie aplicații java (cum ar fi serverele Minecraft). Dacă nu ați instalat o aplicație server, este puțin probabil să fiți afectat de această vulnerabilitate.
Majoritatea persoanelor afectate care au instalat software-ul folosind pachetul deb au primit deja un patch pentru a închide vulnerabilitatea.
Podcast de securitate Ubuntu #142 discută despre CVE și cu siguranță merită ascultat! Mulțumim inginerilor harnici din echipa de securitate Ubuntu, care ne păstrează sistemele Ubuntu în siguranță.
Dacă ați instalat log4j2 ca parte a unui server web sau a unei aplicații java folosind un pachet Snap, verificați cu autorul acelui snap pentru o actualizare de securitate.
Dacă ați instalat log4j2 ca parte a serverului dvs. web sau a aplicației Java într-un alt mod (Appimage, Flatpak, Pip, Brew, compilat etc.), atunci rămâne la latitudinea dvs. să reveniți la acea sursă și să găsiți o versiune corectată... sau să citiți CVE pentru setări manuale de atenuare.
Dacă ați instalat o întreagă stivă sau o platformă de software constând din multe aplicații interconectate, atunci este posibil ca software-ul vulnerabil să fie încorporat în acel stivă. Consultați sursa de la care l-ați luat.
Din https://ubuntu.com/security/notices/USN-5192-1
Lansări
Ubuntu 21.10 Ubuntu 21.04 Ubuntu 20.04 LTS Ubuntu 18.04 LTS
Pachete
apache-log4j2 - Apache Log4j - Cadrul de înregistrare pentru Java
...și...
Actualizați instrucțiunile
Problema poate fi corectată prin actualizarea sistemului la următoarele versiuni de pachet:
Să extindem puțin acest lucru pentru utilizatorii de pachete deb:
Cum să-ți dai seama dacă ești afectat
Pur și simplu întrebați apt:
eu@me:~$ lista apt apache-log4j2
Există trei rezultate posibile:
Listare... Gata
eu@me:~$ <-- Nicio ieșire. Nu este instalat.
Nu ești vulnerabil.
apache-log4j2/focal,acum 2.11.2-1 amd64 <-- Este disponibil, dar NU este instalat.
Nu ești vulnerabil.
apache-log4j2/focal, acum 2.11.2-1 amd64 [instalat] <-- Este instalat
POATE fi vulnerabil.
Dacă nu ești vulnerabil, te poți opri aici.
Dacă PUTE fii vulnerabil, următorul lucru pe care trebuie să îl priviți este versiunea pachetului returnată de acel șir.
Ubuntu 18.04
apache-log4j2/bionic, acum 2.10.0-2 amd64 [instalat] Vulnerabil
apache-log4j2/bionic, acum 2.10.0-2ubuntu0.1 amd64 [instalat] NU este vulnerabil
Ubuntu 20.04
apache-log4j2/focal,acum 2.11.2-1 amd64 [instalat] Vulnerabil
apache-log4j2/focal, acum 2.15.0-0.20.04.1 amd64 [instalat] NU este vulnerabil
Ubuntu 21.04
apache-log4j2/hirsute,acum 2.13.3-1 amd64 [instalat] Vulnerabil
apache-log4j2/hirsute,acum 2.15.0-0.21.04.1 amd64 [instalat] NU este vulnerabil
Ubuntu 21.10
apache-log4j2/impish,acum 2.13.3-1 amd64 [instalat] Vulnerabil
apache-log4j2/impish,acum 2.15.0-0.21.10.1 amd64 [instalat] NU este vulnerabil
Versiunile care NU sunt vulnerabile au fost deja corectate de echipa de securitate Ubuntu. Majoritatea oamenilor au primit deja versiunea corectată prin Upgrade-uri nesupravegheate.
- Asta face Upgrade-urile nesupravegheate! Instalează upgrade de securitate fără să vă deranjeze.
Dacă sistemul dumneavoastră este Vulnerabil, apoi pur și simplu actualizare sudo apt și sudo apt upgrade pentru a introduce cele mai recente upgrade de securitate.
Despre Snaps: Este posibil ca un log4j2 nepatchat să locuiască în unele pachete snap.
- Probabil că nu vom ști despre asta.Auditurile software snap, dacă există, sunt efectuate de membrii comunității. Nu este necesar un audit pentru a elibera un pachet snap.
- Scopul limitării rapide este de a preveni astfel de vulnerabilități să amenințe întregul sistem.
- Dacă găsiți un pachet snap vulnerabil, trimiteți un raport de eroare la autor!
- Snapd verifică pachetele actualizate de mai multe ori în fiecare zi. Dacă un pachet snap vulnerabil este corectat, veți avea acel patch în câteva ore.
