log4j漏洞和码头产品和服务
发生了什么
与其他行业类似,我们在2021年12月10日的远程执行情况下开始了漏洞CVE-2021-44228在流行的Java日志记录库log4j中(2.0和2.14.1之间的所有版本都很脆弱)。我们立即采取行动,减轻对我们的应用和系统的任何潜在影响。我们想为您提供更新。
我们采取的行动
我们已经运行了对使用log4j的应用程序的审计,并在必要时升级到2.15.0。以下是已审核产品的列表及其状态:
- 所有IntelliJ平台的IDE - 不受影响。
- 所有.NET工具 - 不受影响。
- 工具箱 - 不受影响。
- 队伍 - 不受影响。调查详情:TW-74298。
- 集线器 - 修复版本在版本中发布#2021.1.140632021年12月13日。请检查下面的更新。
- Youtrack Standalone - 修复在版本中发布#2021.4.359702021年12月14日。枢纽和Youtrack的详细信息:JT-67582.。请检查以下更新。
- Youtrack在2021年12月10日发布了修复。
- DataLore - 不受影响。
- 空间 - 不受影响。
- 与我的代码 - 修复于2021年12月13日发布(只有用于呼叫的JITSI受到影响)。
- 门户 - 不受影响。
- Kotlin - 不受影响。
- Ktor - 不受影响。
- MPS - 不受影响。
- Jetbrains账户 - 修复于2021年12月10日发布。
- 浮动许可证服务器 - 修复在版本中发布#302112021年12月11日。
- Upsource - 修复在版本中发布#2020.1.19522021年12月13日。
我们正在继续测试我们的服务,以了解它们是否易受攻击,因为使用第三方组件,以及适用的措施,采取必要的行动。我们还监测故事的进一步发展。
你应该采取的行动
如果您是YouTrack独立,集线器,Upsource或浮动许可证服务器的用户,请确保您已更新到新发布的版本或重新启动服务-dlog4j2.formatmsgnolookups = true
JVM参数。
2021年12月14日更新 - 18:25 CET
Yourtack独立和集线器安装的管理员必须采取进一步的操作来保护其实例。请参阅youtrack.和中心博客帖子以获取更多细节。此外,集线器释放在2021.1.14080而不是2021.1.14063以上所列。
Jetbrains团队