请注意,我们在 2022 年 3 月重新调整了我们的产品定位。
针对 Apache Log4j2 Java 库中报告的漏洞 CVE-2021-44228,Anaconda 正在对其产品、仓库、软件包和内部系统进行全面审查,以确定对我们的服务或客户的任何潜在影响。我们下文详述的调查结果表明,Anaconda 产品和服务未受 CVE-2021-44228 的影响。我们将继续监控情况,并更新本文以提供更多信息。
上次更新时间:2021-12-14
Anaconda Commercial Edition
我们托管 Anaconda Commercial Edition 软件包集及其精选 CVE 数据库的 Anaconda Commercial Edition (ACE) 仓库基础设施未受 CVE-2021-44228 的影响。
CVE-2021-44228 不影响 Python 本身,也不影响 PyData 堆栈中的核心软件包。目前,我们没有理由相信它会影响我们仓库中的任何其他软件包。我们在任何渠道上均未提供任何版本的 Log4j 作为 conda 软件包。“pyspark” 软件包中捆绑了旧版本 1.x 的 Log4j,因此不受此漏洞的影响。我们正在继续积极分析我们仓库中的其他软件包中捆绑的 Log4j 归档文件,并将在此文章中更新我们的发现。
Anaconda Team Edition
Anaconda Team Edition (ATE) 不直接使用 Log4j。ATE 用于身份管理的 KeyCloak 软件包使用了 Log4j 1.2.7 版本。此版本未受此漏洞影响,且仅在测试范围内激活——即,不在实际生产操作期间激活。因此,我们得出结论,ATE 未受 CVE-2021-44228 的影响。有关 Keycloak 使用 Log4j 的更多详细信息,请参阅 此 GitHub 讨论。
Anaconda Enterprise 5
Anaconda Enterprise 5 (AE5) 不直接使用 Log4j。AE5 用于身份管理的 KeyCloak 软件包使用了 Log4j 1.2.7 版本。此版本未受此漏洞影响,且仅在测试范围内激活——即,不在实际生产操作期间激活。因此,我们得出结论,AE5 未受 CVE-2021-44228 的影响。有关 Keycloak 使用 Log4j 的更多详细信息,请参阅 此 GitHub 讨论。
带有 Apache Livy 的 Anaconda Enterprise 5
一些 AE5 客户利用 Apache Livy 将 AE5 连接到他们的内部 Hadoop 集群。Livy 使用 Log4j 1.2.16,这是一个旧版本的 Log4j,未受 CVE-2021-44228 的影响。此外,Livy 的默认配置避免使用漏洞核心的 JNDI 技术——因此,即使是假设性的类似漏洞也不会应用于 Livy。为了进一步确认您的 Livy 安装避免了这种假设性的漏洞,请找到文件
conf/log4j.properties.template
在您的 Livy 安装中,并确认存在以下行
log4j.appender.console=org.apache.log4j.ConsoleAppender
如果此行存在且未修改,则无需担心。如果此行不存在或已修改,请随时与 Anaconda 支持团队分享完整配置,以便我们确定这些差异是否重要。
2021-12-14 更新: 上述假设性漏洞已在 CVE-2021-4104 中捕获。此 CVE 仍在等待分析;但出于高度谨慎,请按照此处的说明操作,以确保您不会受到攻击。
Anaconda Enterprise 4 Repository
Anaconda Enterprise 4 Repository 不使用 Log4j,因此未受 CVE-2021-44228 的影响。
Anaconda Enterprise 4 Notebooks
Anaconda Enterprise 4 Notebooks (AEN4) 不直接使用 Log4j,因此未直接受 CVE-2021-44228 的影响。但是,AEN4 支持使用外部 Elasticsearch 安装来启用跨项目搜索。根据关于此主题的官方 Elasticsearch 安全公告,版本 5 及更高版本包含易受攻击的代码,尽管版本 6 和 7 已经包含缓解措施。
我们的 官方安装文档 使用了更旧版本的 Elasticsearch——1.7.2 和 1.7.4——这些版本未受此 CVE 的影响。此外,许多客户不使用此项目搜索功能,我们的标准建议是在这种情况下禁用它。因此,我们建议采取以下步骤来加强您的 AEN4 安装
验证 Elasticsearch 的版本。如果您确实希望保留 Elasticsearch 支持,请验证您安装的版本是否不受 CVE 的影响。如上所示,AEN4 默认使用 1.7.2-1.7.4 版本,这些版本未受此漏洞的影响。
在 AEN4 中禁用 Elasticsearch 的使用。如果您不经常使用项目搜索功能,请考虑完全禁用它。
- 在主节点上,编辑文件 /opt/wakari/wakari-server/etc/wakari/wk-server-config.json。
-
如果存在键 SEARCH_ENABLED,请将其值设置为 false。
-
如果不存在,请创建该键,并将其值设置为 false。
- 重启 wakari-server 进程
-
/etc/init.d/wakari-server restart;或
-
systemctl restart wakari-server
Anaconda 软件包构建基础设施
Anaconda 的软件包构建基础设施不使用 Log4j,因此未受 CVE-2021-44228 的影响。
Anaconda 仓库基础设施
我们托管可供下载的软件包的 Anaconda 仓库基础设施未受 CVE-2021-44228 的影响。这包括 repo.anaconda.com、anaconda.org 和 api.anaconda.cloud,我们从中提供 Anaconda Commercial Edition 的仓库。
Anaconda 构建、Anaconda 托管的软件包
CVE-2021-44228 不影响 Python 本身,也不影响 PyData 堆栈中的核心软件包。目前,我们没有理由相信它会影响我们仓库中的任何其他软件包。我们在任何渠道上均未提供任何版本的 Log4j 作为 conda 软件包。“pyspark” 软件包中捆绑了旧版本 1.x 的 Log4j,因此不受此漏洞的影响。我们正在继续积极分析我们仓库中的其他软件包中捆绑的 Log4j 归档文件,并将在此文章中更新我们的发现。
社区构建、Anaconda 托管的软件包
鉴于 CVE-2021-44228 的严重性,Anaconda 已选择采取额外步骤,与其社区合作伙伴(包括 conda-forge 和 bioconda)合作,帮助他们确定其软件包是否受到此漏洞的影响。我们将在此文章中更新任何发现。
Anaconda 内部系统
结合我们对 Anaconda 产品和 Conda 软件包的审查,我们还对 Anaconda 的内部系统进行了全面分析。我们的调查结果表明,我们的内部系统未受 Log4j 漏洞的影响。
Anaconda 支持
如果您是 Anaconda 客户,并且对 Log4j 漏洞可能对您造成的影响有其他疑问,请联系 Anaconda 支持团队。Anaconda 非常重视开源软件中的风险和漏洞,目前正投入所有员工资源来调查 CVE-2021-44228 的影响。我们将不断更新本文,提供最新信息。
2021-12-14 更新
NVD 发布了关于 Log4j 1.2 中的 JMSAppender 的 CVE-2021-4104,作为 CVE-2021-44228 分析期间的预防措施。此 CVE 仍在等待 NIST 的正式分析;与 44228 不同,目前尚无与此 CVE 相关的具体攻击。此外,它仅适用于应用程序修改了 Log4j 的默认配置以使用 JMSAppender 模块的情况。
唯一受此新的待定 CVE 影响的 Anaconda 产品是 Anaconda Enterprise 5,并且仅当与具有自定义 Log4j 配置的 Apache Livy 结合使用时。我们上面提供的现有说明可确保您也受到保护,免受此 CVE 的影响。
Anaconda 正在监控此漏洞,并将在此文章中更新任何发现。
相关资源
