Log4j 漏洞对 GFI 的影响
一个新的 0-day 漏洞,正式名称为CVE-2021-44228,于 12 月 10 日星期五在 NIST 国家漏洞数据库上发布。它位于 Log4j Java 库中。?
Log4j 是一个流行的开源日志库,由 Apache 软件基金会制作。Log4j 中发现的安全漏洞允许黑客在目标系统上执行远程命令。该漏洞的严重性被 NIST归类为“严重”。
GFI 产品如何受到影响?
GFI 开发团队正在审查我们的产品以使用 Log4j。
Kerio Connect 的一项功能利用了 Log4j,推荐的缓解措施如下所示。
如果我们发现任何其他建议的缓解措施,我们将提供后续沟通。其他信息(如果可用)也将发布在此页面上。
Kerio Connect 漏洞缓解措施
Log4j 在 Kerio Connect 中用作聊天功能的一部分。我们建议所有 Kerio Connect 用户暂时禁用软件中的聊天功能。
要在 Kerio Connect 中禁用聊天:
- 转到配置。
- 单击域。
- 双击所需的域。
- 在“常规”选项卡上找到“聊天”部分。
- 取消选择“在 Kerio Connect 客户端中启用聊天”。选项。
- 对所有电子邮件域重复上述步骤。
Kerio Connect 安全修补程序
Kerio Connect 的安全修补程序的工作已经开始。我们打算在接下来的几天内发布一个公开版本。
当发布可用时,我们将通过您注册的电子邮件向所有 Kerio Connect 客户发送后续通知。
2021 年 12 月 21 日更新。
我们很高兴地宣布 Kerio Connect 9.3.1p2 可用。此安全版本解决了与 Log4j 相关的漏洞,正式名称为CVE-2021-44228。
发行说明:
- Apache log4j2 库升级到 2.16.0 版本(修复 CVE-2021-44228 漏洞)
新版本可以从GFI 升级中心下载。
我们建议所有 Kerio Connect 客户尽快安装 9.3.1p2 版本。
一旦部署了 Kerio Connect 9.3.1p2,就可以安全地重新启用聊天功能。
本文系外文翻译,前往查看
如有侵权,请联系?cloudcommunity@tencent.com?删除。
本文系外文翻译,前往查看
如有侵权,请联系?cloudcommunity@tencent.com 删除。