本文向 SB10377 提供补充性信息,涉及内部部署 ePO 和 log4j 漏洞。
涉及的 CVS 包括:
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- CVE-2021-44832。
我们对于产品对 log4j 漏洞的影响做出的正式响应,在
SB10377 - 适用于"Log4Shell"的 McAfee Enterprise 产品状态 (CVE-2021-44228、CVE-2021-4104、CVE-2021-45046 和 CVE-2021-45105).
您可以在 中查找关于 log4shell 恶意软件覆盖范围的信息
KB95091 - McAfee Enterprise Apache Log4j CVE-2021-44228 远程代码执行.
修补程序版本详细信息
为了尽可能快速响应,针对增加 log4j 的 ePO 已发布两个修补程序。 这两个修补程序都从我们的下载站点提取,因为 ePO 版本不再需要这些修补程序5.10更新 12。
ePO 版本 |
释放
日期
|
Log4j
版本 |
已处理 CV |
评论 |
ePO 5.10 Update 12 |
1 月 11 日
2022 |
2.17.1 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
|
ePO 5.10 Update 11 Hotfix 2 |
12 月 21 日
2021 |
2.17.0 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
不可用。
被 ePO 取代5.10更新 12。 |
ePO 5.10 Update 11 Hotfix 1 |
12 月 16 日
2021 |
2.16.0 |
CVE-2021-44228 |
不可用。
被 ePO 取代5.10更新 11 修补程序 2。 |
重要说明:
- 这两个修补程序都只能在 ePO 上安装5.10更新 11。
- 使用修复ePO 上的功能5.10更新 11。
- 您可以应用 ePO5.10更新 12,无论您是否应用了任何修补程序。
常见问题
如果已安装 ePO5.10更新 11 修补程序 1,必须已升级到 ePO5.10更新 12?
是。 Epo5.10更新 11 地址为 CVE-2021-44228 的修补程序 1,但不能地址是 CVE-2021-45046 或 CVE-2021-45105。
如果已安装 ePO5.10更新 11 修补程序 2,必须已升级到 ePO5.10更新 12?
虽然不需要,但您可以。 ePO 之间没有解决其他漏洞5.10更新 11 修补程序 2 和 ePO5.10更新 12,因为 ePO 对 CVE-2021-44832 不易受攻击。 看到KB95123 - ePolicy Orchestrator 维持声明 (SSC2112291) - 对 Log4j 漏洞 CVE-2021-44832 的响应有关 ePO 为何易受 CVE-2021-44832 攻击的文档。
如果 ePO 易受 CVE-2021-44832 攻击,原因为 ePO5.10更新 12 提供 log4j 版本2.17.1?
在响应 log4j 时已做出决策,决定使用累积更新版本来跟踪我们的修补程序版本。 更新仅增加 log4j,并且提供发行时可用的最新内部版本。
如果已应用 ePO5.10更新 11 修补程序 1 或 2,在应用更新 12 之前是否需要将其删除?
不。您可以删除在应用修补程序时备份的文件。 这是可选操作,但并非可选操作。
假设您使用修补程序发行说明中建议的相同文件名,您可以在应用更新 12 或更高版本后安全删除以下文件:
- log4j-1.2-api-2.14.1.jar.bak
- log4j-1.2-api-2.14.1.jar.sig.bak
- log4j-api-2.14.1.jar.bak
- log4j-api-2.14.1.jar.sig.bak
- log4j-core-2.14.1.jar.bak
- log4j-core-2.14.1.jar.sig.bak
- log4j-1.2-api-2.16.0.jar.bak
- log4j-1.2-api-2.16.0.jar.sig.bak
- log4j-api-2.16.0.jar.bak
- log4j-api-2.16.0.jar.sig.bak
- log4j-core-2.16.0.jar.bak
- log4j-core-2.16.0.jar.sig.bak
注意:您可能没有上面列出的所有文件。 它取决于您应用了修补程序 1、修补程序 2 还是二者都有。
为什么系统漏洞扫描程序 代理处理程序 易受一个或多个 log4j 漏洞攻击?
在代理处理程序上应用相同的累积ePO 服务器用于更新代理处理程序。 此包包含 log4j 库的副本,以更新应用程序服务器。 当您将更新应用到代理处理程序时,它会将整个包的内容复制到 \Updater文件夹。 扫描程序正在检测哪些 JAR 文件。 由于处理程序不使用这些文件,因此您可以忽略扫描结果或删除文件。
在应用了漏洞扫描程序 12 后,为何ePO 服务器策略将系统标记为易受 log4j 漏洞攻击?
对系统应用更新ePO 服务器,它会将整个更新包复制到\Updates 文件夹。 该位置可能还包含一些 log4j JAR 文件。 ePO 仅从\Server\Lib文件夹。 在 ePO 不使用的其他任何位置中,log4j JAR 文件的任何副本都可以删除。 但是,在 ePO 日常操作之外没有潜在的缺点。
该表概述文件位置和删除文件时可能存在的问题。 该表假设您使用默认的 ePO 安装目录。
文件位置 |
JAR 文件
可以删除
或
重 命名? |
潜在影响 |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\ |
否 |
ePO 无法正常运行。
Tomcat 服务可能无法正确启动或初始化。 |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Updates\ |
是 |
更新工具的回滚和修复功能可能会失败。 |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ |
是 |
修复 ePO 安装可能失败。 |
注意: 以上路径包括引用路径中的任何子文件夹。
我是否需要删除在应用 ePO 之前或之后在 SB10377 中为 ePO 记录以前已发布的缓解说明5.10更新 12?
不。ePO 的缓解说明可以留在的位置;它们对于 ePO 没有负面影响。 如果您要删除这些文件,则执行此操作的说明会记录在SB10377 - 适用于"Log4Shell"的 McAfee Enterprise 产品状态 (CVE-2021-44228、CVE-2021-4104、CVE-2021-45046 和 CVE-2021-45105).
是否将 CVE-2021-44228、CVE-2021-4104、CVE-2021-45046 和 CVE-2021-45105 应用到 ePO5.10是否更新 10 或更早版本? 如果不是,原因?
所有 CV 均不适用于 ePO5.10更新 10 或更早版本。 对于 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105,因为这些漏洞仅适用于Log4j2.x,而 ePO5.10更新 10 和更早使用Log4j1.2. CVE-2021-4104 适用于Log4j1.2,但您仅在JMSAppender已实现。 ePO 未实施JMSAppender.