log4j漏洞和码头产品和服务

发生了什么

与其他行业类似，我们在2021年12月10日的远程执行情况下开始了漏洞CVE-2021-44228在流行的Java日志记录库log4j中（2.0和2.14.1之间的所有版本都很脆弱）。我们立即采取行动，减轻对我们的应用和系统的任何潜在影响。我们想为您提供更新。

我们采取的行动

我们已经运行了对使用log4j的应用程序的审计，并在必要时升级到2.15.0。以下是已审核产品的列表及其状态：

• 所有IntelliJ平台的IDE - 不受影响。
• 所有.NET工具 - 不受影响。
• 工具箱 - 不受影响。
• 队伍 - 不受影响。调查详情：TW-74298。
• 集线器 - 修复版本在版本中发布＃2021.1.140632021年12月13日。请检查下面的更新。
• Youtrack Standalone - 修复在版本中发布＃2021.4.359702021年12月14日。枢纽和Youtrack的详细信息：JT-67582.。请检查以下更新。
• Youtrack在2021年12月10日发布了修复。
• DataLore - 不受影响。
• 空间 - 不受影响。
• 与我的代码 - 修复于2021年12月13日发布（只有用于呼叫的JITSI受到影响）。
• 门户 - 不受影响。
• Kotlin - 不受影响。
• Ktor - 不受影响。
• MPS - 不受影响。
• Jetbrains账户 - 修复于2021年12月10日发布。
• 浮动许可证服务器 - 修复在版本中发布＃302112021年12月11日。
• Upsource - 修复在版本中发布＃2020.1.19522021年12月13日。

我们正在继续测试我们的服务，以了解它们是否易受攻击，因为使用第三方组件，以及适用的措施，采取必要的行动。我们还监测故事的进一步发展。

你应该采取的行动

如果您是YouTrack独立，集线器，Upsource或浮动许可证服务器的用户，请确保您已更新到新发布的版本或重新启动服务-dlog4j2.formatmsgnolookups = trueJVM参数。

2021年12月14日更新 - 18:25 CET
Yourtack独立和集线器安装的管理员必须采取进一步的操作来保护其实例。请参阅youtrack.和中心博客帖子以获取更多细节。此外，集线器释放在2021.1.14080而不是2021.1.14063以上所列。

Jetbrains团队