注意:我们正在接受问题cve - 2021 - 45046。这个CVE CVE - 2021 - 44228的后续利用。因此,下面的语句也申请cve - 2021 - 45046。
像许多同龄人一样,我们在过去几天应对Log4j远端控制设备的弱点,cve - 2021 - 44228和相关的cf, 44228年被发现后披露。
我们很幸运在我们的例子中,我们选择不使用Java作为核心部分的堆栈和最小依赖服务和使用它的应用程序。
经过严格的审查我们的代码库,我们相信Grafana OSS, Grafana云,我们企业的产品不受影响。bob手机app官网
少量的演示、实验或游乐场项目(所有非定制影响)脆弱的Log4j版本运行,但是这些发现后应立即停止,直到他们可以升级或者退役。
Grafana洛基如何帮助
虽然不能代替一个完整SIEM,搜索Grafana洛基等应用程序日志包含模式$ {jndi: ldap: / / *可以成为一个伟大的、低开销的方式开始变得可见性剥削的尝试。同样的,jndi一般来说可以帮助查找非法服务,可以运行脆弱的版本。Log4j常常打印自己的名字在启动时,搜索正则表达式(?我)log4j也可以使用Log4j有助于识别服务,然后你可以评估潜在的漏洞。
如果你有具体问题或担心这个漏洞和Grafana产品或服务,请电子邮件bob手机app官网security@www.tubolov.com。
