Nói chung, Không. Chỉ những người đã cài đặt gói java cụ thể mới có thể dễ bị tấn công.
Gói gỡ lỗi (apache-log4j2) không phải là một phần của bản cài đặt Ubuntu gốc. Hầu hết các hệ thống dễ bị tổn thương đều chạy máy chủ web hoặc ứng dụng java (như máy chủ Minecraft). Nếu bạn không cài đặt ứng dụng máy chủ, thì bạn sẽ không bị ảnh hưởng bởi lỗ hổng này.
Hầu hết những người bị ảnh hưởng đã cài đặt phần mềm bằng gói gỡ lỗi đã nhận được một bản vá để đóng lỗ hổng.
Bảo mật Ubuntu Podcast #142 thảo luận về CVE, và chắc chắn là đáng để lắng nghe! Cảm ơn các kỹ sư làm việc chăm chỉ trong Nhóm bảo mật Ubuntu, đã giữ an toàn cho các hệ thống Ubuntu của chúng tôi.
Nếu bạn đã cài đặt log4j2 như một phần của máy chủ web hoặc ứng dụng java bằng gói Snap, hãy kiểm tra với tác giả của snap đó để biết bản nâng cấp bảo mật.
Nếu bạn đã cài đặt log4j2 như một phần của máy chủ web hoặc ứng dụng java của mình theo cách khác (Appimage, Flatpak, Pip, Brew, đã biên dịch, v.v.), thì bạn có thể quay lại nguồn đó và tìm phiên bản đã vá lỗi... hoặc đọc CVE cho cài đặt giảm thiểu thủ công.
Nếu bạn đã cài đặt toàn bộ ngăn xếp phần mềm hoặc nền tảng bao gồm nhiều ứng dụng có liên quan với nhau, thì có thể phần mềm dễ bị tấn công có thể được nhúng trong ngăn xếp đó. Tham khảo nguồn mà bạn đã lấy nó từ đó.
Từ https://ubuntu.com/security/notices/USN-5192-1
phát hành
Ubuntu 21.10 Ubuntu 21.04 Ubuntu 20.04 LTS Ubuntu 18.04 LTS
gói
apache-log4j2 - Apache Log4j - Khung ghi nhật ký cho Java
...và...
cập nhật hướng dẫn
Sự cố có thể được khắc phục bằng cách cập nhật hệ thống của bạn lên các phiên bản gói sau:
Hãy mở rộng điều này một chút cho người dùng gói deb:
Làm thế nào để biết nếu bạn bị ảnh hưởng
Đơn giản chỉ cần hỏi apt:
me@me:~$ danh sách apt apache-log4j2
Có ba kết quả có thể xảy ra:
Đang liệt kê... Xong
me@me:~$ <- Không có đầu ra nào cả. Nó không được cài đặt.
Bạn không dễ bị tổn thương.
apache-log4j2/focal,now 2.11.2-1 amd64 <- Có sẵn, nhưng KHÔNG được cài đặt.
Bạn không dễ bị tổn thương.
apache-log4j2/focal, now 2.11.2-1 AMD64 [đã cài đặt] <- Nó đã được cài đặt
Bạn CÓ THỂ dễ bị tổn thương.
Nếu bạn không dễ bị tổn thương, bạn có thể dừng ở đây.
Nếu bạn CÓ THỂ dễ bị tổn thương, điều tiếp theo cần xem xét là phiên bản gói được trả về bởi chuỗi đó.
Ubuntu 18.04
apache-log4j2/bionic, hiện là 2.10.0-2 AMD64 [đã cài đặt] Dễ bị tấn công
apache-log4j2/bionic, hiện là 2.10.0-2ubuntu0.1 AMD64 [đã cài đặt] KHÔNG dễ bị tấn công
Ubuntu 20.04
apache-log4j2/focal, now 2.11.2-1 AMD64 [đã cài đặt] Dễ bị tấn công
apache-log4j2/focal, hiện là 2.15.0-0.20.04.1 AMD64 [đã cài đặt] KHÔNG dễ bị tổn thương
Ubuntu 21.04
apache-log4j2/hirsute,hiện là 2.13.3-1 AMD64 [đã cài đặt] Dễ bị tấn công
apache-log4j2/hirsute, hiện là 2.15.0-0.21.04.1 AMD64 [đã cài đặt] KHÔNG dễ bị tổn thương
Ubuntu 21.10
apache-log4j2/impish,hiện là 2.13.3-1 AMD64 [đã cài đặt] Dễ bị tấn công
apache-log4j2/impish,hiện là 2.15.0-0.21.10.1 AMD64 [đã cài đặt] KHÔNG dễ bị tổn thương
Các phiên bản KHÔNG dễ bị tổn thương đã được vá bởi Nhóm bảo mật Ubuntu. Hầu hết mọi người đã nhận được phiên bản vá thông qua Nâng cấp không giám sát.
- Đó là những gì Nâng cấp không giám sát làm! Nó cài đặt các nâng cấp bảo mật mà không làm phiền bạn.
Nếu hệ thống của bạn dễ bị tổn thương, sau đó chỉ cần cập nhật sudo apt và nâng cấp sudo apt để tải về các bản nâng cấp bảo mật mới nhất.
Giới thiệu về Snap: Có thể một log4j2 chưa được vá nằm trong một số gói snap.
- Có lẽ chúng ta sẽ không biết về nó.Kiểm tra phần mềm Snap, nếu có, được thực hiện bởi các thành viên cộng đồng. Không cần kiểm tra để phát hành gói snap.
- Toàn bộ điểm hạn chế nhanh là để ngăn chặn các lỗ hổng như vậy đe dọa toàn bộ hệ thống.
- Nếu bạn tìm thấy một gói snap dễ bị tấn công, hãy gửi báo cáo lỗi cho tác giả!
- Snapd kiểm tra các gói nâng cấp nhiều lần mỗi ngày. Nếu một gói snap dễ bị tấn công được vá, bạn sẽ có bản vá đó trong vòng vài giờ.
