问题描述
comsol软件是否包含apache log4j图书馆,如果是这样,它会受到具有共同脆弱性和暴露的漏洞(CVE)名称:CVE-2019-17571,CVE-2020-9488,CVE-2021-4104,CVE-2021-4104,CVE-2021-4428-44832,CVE-2021-45046,CVE-2021-45105,CVE-2022-23302,CVE-2022-23305和CVE-2022-23307?
解决方案
概括
对于comsol版本6.0,您应该尽快安装更新1,因为它包含对2.17.1版的Log4J2的更新,该更新不受这些漏洞的影响,以及log4j 1.2.17的修补版本,其中脆弱的classfiles已为删除。
comsol版本5.6和更早版本仅包含log4j 1.2.17。尽管我们不认为它包含的漏洞是在我们的软件中暴露的,但请参见下面的说明,例如,如果您想避免在安全扫描软件中避免使用误报,请参见如何进行修补。
comsol版本6.0
comsol Multiphysics和Model Manager Server使用Log4J 2.X库。在2022年2月11日发布的Comsol软件6.0更新1版更新1时,将Comsol Multiphysics中使用的Log4J 2.X库更新为2.17.1版,其中CVE-2021-44832,CVE-2021-45105,CVE--451052021-45046和CVE-2021-44228已得到缓解。应用更新1后,comsol多物理学的构建版本将增加到354。通过下载完整版的comsol多物理学的完整版本,您可以自动获得构建354。
comsol版本6.0还使用了log4j 1.x库。应用comsol软件6.0更新1时,安装了log4j 1.2.17的修补版本。在此修补版本中,comsol已删除jmssink.class
,,,,jmsappender.class
,,,,socketserver.class
,,,,smtpappender.class
,,,,SMTPAPPENDER $ 1.类
,,,,jdbcappender.class
,和org.apache.log4j.chainsaw
缓解CVE-2022-23302,CVE-2021-4104,CVE-2019-17571,CVE-2020-9488,CVE-2022-23305和CVE-2022-23307。
FlexNet许可证服务器不使用任何Log4J库。
comsol多物理,comsol服务器和comsol Model Manager服务器
看到产品更新页面有关如何安装更新1的说明。
comsol编译器
使用Comsol编译器编译的可执行文件使用的运行时包含与编译它的comsol多物理的相应版本相同的log4j版本。因此,只要comsol Multiphysics 6.0是构建354(通过如上所述应用升级,或直接通过直接安装应用程序)后,在编译应用程序时,comsol编译器运行时包含的log4j版本将不易于攻击如上所述。
comsol版本5.6和更早版本
comsol版本5.6使用log4j 1.x库;但是,它不受任何已知漏洞的影响。
更详细地说,comsol版本5.2a和更早版本是1.2.16版中使用的log4j版本,在comsol版本5.3及更高版本中,使用了log4j版本1.2.17。这同时适用于Comsol多物理和Comsol Server。
此外,comsol软件不使用log4j 1.x中的日志服务器,因此不容易受到CVE-2019-17571的影响socketserver
log4j 1.2+中的类。此外,comsol软件未配置为使用JMSAppender
log4j 1.x的属性,因此不容易受到CVE-2021-4104的影响。
请注意,Comsol版本5.6和更早版本不容易受到CVE-2021-44832,CVE-2021-45105,CVE-2021-45046和CVE-2021-44228,因为它们不包含Log4J版本2.x。
尽管我们不认为log4j 1.x包含在我们的软件中,但可以使用外部扫描工具手动修补它。此类手动修补将达到与Comsol 6.0 Update 1中相同的缓解,例如,可以避免使用安全扫描软件中的误报。要在安装comsol 5.6或更早的安装中修补log4j 1.x,您可以使用apache许可证的GitHub上的开源扫描仪2.0:
- 下载CVE-2021-44228-SCANNER平台的软件。
- 用它作为管理用户运行
-scan-log4j1
和- 使固定
启用了选项,将COMSOL安装目录作为目标路径。 - 该软件应报告已减轻Log4J 1.x。根据安装类型和安装模块,扫描仪可以找到log4j文件以在一个或两个文件中缓解:
log4j-1.2.17.jar
和lib.external.poi_4.1.2.jar
。
comsol竭尽全力验证您在此页面上查看的信息。仅提供您的信息资源和文件,而Comsol对其有效性没有明确或暗示的主张。对于披露的数据的准确性,Comsol不承担任何法律责任。本文档中引用的任何商标都是其各自所有者的财产。请咨询您的产品手册以获取完整的商标详细信息。