Log4j - GoAnywhere Mitigation Steps
原廠資訊
https://www.goanywhere.com/cve-2021-44228-and-cve-2021-45046-goanywhere-mitigation-steps
中文說明如下:
?CVE-2021-44832
GoAnywhere安裝目錄下之config目錄裡的log4j2.xml檔案,其預設值不包含JDBC Appender.如果沒有人為變更過,或變更過但仍沒有JDBC Appender段落, 則完全不受此弱點影響
如果您曾加入JDBC Appender段落, 但實務上不會用到它, 建議將這<JDBC> tag 及其內容移除
若您實務上會用到JDBC Appender, 請確認 jndiName 只含 java protocol, 例如
<DataSource jndiName="java:/comp/env/jdbc/LoggingDataSource" />
log4j2.xml 檔案如有變更, 須重啟GoAnywher服務
CVE-2021-45105
請升級GoAnywhere產品至最新版(December 16, 2021)
log4j2.xml 內若含有 ${ctx: 字眼, 請移除之, 例如以 %X{example} 取代 ${ctx:example}
以上須重啟GoAnywher服務
?CVE-2021-44228?and?CVE-2021-45046
升級 GoAnywhere MFT 版本到 version 6.8.6
升級 GoAnywhere Gateway 版本到 version 2.8.4
升級 GoAnywhere MFT Agents 版本到 version 1.6.5
以上如有任何問題, 請發信給 support@asiapeak.com
玉山科技 版權所有 © Copyright AsiaPeak 2006, All Rights Reserved
|