菜单

Apache Log4j中的安全漏洞
适用于: comsol模型经理,comsol Multiphysics®,comsol Server™ 版本: 所有版本

问题描述

comsol软件是否包含apache log4j图书馆,如果是这样,它会受到具有共同脆弱性和暴露的漏洞(CVE)名称:CVE-2019-17571,CVE-2020-9488,CVE-2021-4104,CVE-2021-4104,CVE-2021-4428-44832,CVE-2021-45046,CVE-2021-45105,CVE-2022-23302,CVE-2022-23305和CVE-2022-23307?

解决方案

概括

对于comsol版本6.0,您应该尽快安装更新1,因为它包含对2.17.1版的Log4J2的更新,该更新不受这些漏洞的影响,以及log4j 1.2.17的修补版本,其中脆弱的classfiles已为删除。

comsol版本5.6和更早版本仅包含log4j 1.2.17。尽管我们不认为它包含的漏洞是在我们的软件中暴露的,但请参见下面的说明,例如,如果您想避免在安全扫描软件中避免使用误报,请参见如何进行修补。

comsol版本6.0

comsol Multiphysics和Model Manager Server使用Log4J 2.X库。在2022年2月11日发布的Comsol软件6.0更新1版更新1时,将Comsol Multiphysics中使用的Log4J 2.X库更新为2.17.1版,其中CVE-2021-44832,CVE-2021-45105,CVE--451052021-45046和CVE-2021-44228已得到缓解。应用更新1后,comsol多物理学的构建版本将增加到354。通过下载完整版的comsol多物理学的完整版本,您可以自动获得构建354。

comsol版本6.0还使用了log4j 1.x库。应用comsol软件6.0更新1时,安装了log4j 1.2.17的修补版本。在此修补版本中,comsol已删除jmssink.class,,,,jmsappender.class,,,,socketserver.class,,,,smtpappender.class,,,,SMTPAPPENDER $ 1.类,,,,jdbcappender.class,和org.apache.log4j.chainsaw缓解CVE-2022-23302,CVE-2021-4104,CVE-2019-17571,CVE-2020-9488,CVE-2022-23305和CVE-2022-23307。

FlexNet许可证服务器不使用任何Log4J库。

comsol多物理,comsol服务器和comsol Model Manager服务器

看到产品更新页面有关如何安装更新1的说明。

comsol编译器

使用Comsol编译器编译的可执行文件使用的运行时包含与编译它的comsol多物理的相应版本相同的log4j版本。因此,只要comsol Multiphysics 6.0是构建354(通过如上所述应用升级,或直接通过直接安装应用程序)后,在编译应用程序时,comsol编译器运行时包含的log4j版本将不易于攻击如上所述。

comsol版本5.6和更早版本

comsol版本5.6使用log4j 1.x库;但是,它不受任何已知漏洞的影响。

更详细地说,comsol版本5.2a和更早版本是1.2.16版中使用的log4j版本,在comsol版本5.3及更高版本中,使用了log4j版本1.2.17。这同时适用于Comsol多物理和Comsol Server。

此外,comsol软件不使用log4j 1.x中的日志服务器,因此不容易受到CVE-2019-17571的影响socketserverlog4j 1.2+中的类。此外,comsol软件未配置为使用JMSAppenderlog4j 1.x的属性,因此不容易受到CVE-2021-4104的影响。

请注意,Comsol版本5.6和更早版本不容易受到CVE-2021-44832,CVE-2021-45105,CVE-2021-45046和CVE-2021-44228,因为它们不包含Log4J版本2.x。

尽管我们不认为log4j 1.x包含在我们的软件中,但可以使用外部扫描工具手动修补它。此类手动修补将达到与Comsol 6.0 Update 1中相同的缓解,例如,可以避免使用安全扫描软件中的误报。要在安装comsol 5.6或更早的安装中修补log4j 1.x,您可以使用apache许可证的GitHub上的开源扫描仪2.0:

  1. 下载CVE-2021-44228-SCANNER平台的软件。
  2. 用它作为管理用户运行-scan-log4j1- 使固定启用了选项,将COMSOL安装目录作为目标路径。
  3. 该软件应报告已减轻Log4J 1.x。根据安装类型和安装模块,扫描仪可以找到log4j文件以在一个或两个文件中缓解:log4j-1.2.17.jarlib.external.poi_4.1.2.jar

按类别浏览

错误消息(62)
导入(10)
几何(13)
物理学(10)
求解器(33)
安装(34)
网格(14)
一般(27)
结构力学(2)
流体动力学(1)
后处理(4)
出口(1)
产品信息(2)
图(1)
多物理(1)
用户模型(1)

comsol竭尽全力验证您在此页面上查看的信息。仅提供您的信息资源和文件,而Comsol对其有效性没有明确或暗示的主张。对于披露的数据的准确性,Comsol不承担任何法律责任。本文档中引用的任何商标都是其各自所有者的财产。请咨询您的产品手册以获取完整的商标详细信息。