请注意,我们在 2022 年 3 月重新定位了我们的产品。
针对 Apache Log4j2 Java 库中报告的漏洞 CVE-2021-44228,Anaconda 正在对其产品、仓库、软件包和内部系统进行全面审查,以确定对我们的服务或客户的任何潜在影响。我们以下的调查结果表明,Anaconda 的产品和服务不受 CVE-2021-44228 的影响。我们将继续监测情况,并在本文档中更新更多信息。
上次更新时间:2021-12-14
Anaconda 商业版
我们托管 Anaconda 商业版软件包集及其精选 CVE 数据库的 Anaconda 商业版 (ACE) 仓库基础设施不受 CVE-2021-44228 的影响。
CVE-2021-44228 不会影响 Python 本身,也不会影响 PyData 堆栈中的核心软件包。目前,我们没有理由相信它会影响我们仓库中的任何其他软件包。我们不会在任何通道上提供任何版本的 Log4j 作为 conda 软件包。我们“pyspark”软件包中捆绑了 Log4j 的较旧的 1.x 版本,因此不受此漏洞的影响。我们正在继续积极分析我们仓库中的其他软件包以查找捆绑的 Log4j 存档,并将更新本文档以反映我们的调查结果。
Anaconda 团队版
Anaconda 团队版 (ATE) 不会直接使用 Log4j。ATE 用于身份管理的 KeyCloak 软件包使用 Log4j 1.2.7。此版本不受此漏洞的影响,并且仅在测试范围内激活,即在实时生产操作期间不激活。因此,我们得出结论,ATE不受 CVE-2021-44228 的影响。有关 Keycloak 使用 Log4j 的更多详细信息,请参阅此 GitHub 讨论。
Anaconda 企业版 5
Anaconda 企业版 5 (AE5) 不会直接使用 Log4j。AE5 用于身份管理的 KeyCloak 软件包使用 Log4j 1.2.7。此版本不受此漏洞的影响,并且仅在测试范围内激活,即在实时生产操作期间不激活。因此,我们得出结论,AE5不受 CVE-2021-44228 的影响。有关 Keycloak 使用 Log4j 的更多详细信息,请参阅此 GitHub 讨论。
Anaconda 企业版 5 与 Apache Livy
一些 AE5 客户利用 Apache Livy 将 AE5 连接到其内部 Hadoop 集群。Livy 使用 Log4j 1.2.16,这是一个较旧的 Log4j 版本,不受 CVE-2021-44228 的影响。此外,Livy 的默认配置避免使用漏洞的核心技术 JNDI,因此即使是假设的类似漏洞也不会适用于 Livy。为了进一步确认您的 Livy 安装避免了这种假设,请找到文件
conf/log4j.properties.template
在您的 Livy 安装中,并确认存在以下行
log4j.appender.console=org.apache.log4j.ConsoleAppender
如果此行存在且未修改,则无需担心。如果此行不存在或已修改,请随时与Anaconda 支持团队分享完整配置,以便我们确定这些差异是否重要。
2021-12-14 更新:上面讨论的假设漏洞已在CVE-2021-4104中捕获。此 CVE 仍在等待分析,但出于谨慎起见,请按照此处的说明操作,以确保您不受此漏洞的影响。
Anaconda 企业版 4 仓库
Anaconda 企业版 4 仓库不使用 Log4j,因此不受 CVE-2021-44228 的影响。
Anaconda 企业版 4 笔记本
Anaconda 企业版 4 笔记本 (AEN4) 不会直接使用 Log4j,因此不受 CVE-2021-44228 的直接影响。但是,AEN4 支持使用外部 Elasticsearch 安装来启用跨项目的搜索。根据有关此主题的官方Elasticsearch 安全公告,版本 5 及更高版本包含易受攻击的代码,尽管版本 6 和 7 已经包含缓解措施。
我们的官方安装文档使用的是旧版本的 Elasticsearch(1.7.2 和 1.7.4),不受此 CVE 的影响。此外,许多客户不使用此项目搜索功能,我们的标准建议是,如果情况属实,则将其禁用。因此,我们建议执行以下步骤来加强您的 AEN4 安装
验证 Elasticsearch 的版本。如果您希望保留 Elasticsearch 支持,请验证已安装的版本是否不受 CVE 的影响。如上所述,AEN4 默认情况下使用 1.7.2-1.7.4 版本,不受此漏洞的影响。
在 AEN4 中禁用 Elasticsearch 的使用。如果您没有大量使用项目搜索功能,请考虑完全禁用它。
- 在主节点上,编辑文件/opt/wakari/wakari-server/etc/wakari/wk-server-config.json。
-
如果存在键 SEARCH_ENABLED,请将其值设置为false。
-
如果不存在,请创建此键,并将它的值设置为false。
- 重新启动 wakari-server 进程
-
/etc/init.d/wakari-server restart;或
-
systemctl restart wakari-server
Anaconda 软件包构建基础设施
Anaconda 的软件包构建基础设施不使用 Log4j,因此不受 CVE-2021-44228 的影响。
Anaconda 仓库基础设施
我们托管可供下载的软件包的 Anaconda 仓库基础设施不受 CVE-2021-44228 的影响。这包括 repo.anaconda.com、anaconda.org 和 api.anaconda.cloud,我们从中提供 Anaconda 商业版的仓库。
Anaconda 构建的、Anaconda 托管的软件包
CVE-2021-44228 不会影响 Python 本身,也不会影响 PyData 堆栈中的核心软件包。目前,我们没有理由相信它会影响我们仓库中的任何其他软件包。我们不会在任何通道上提供任何版本的 Log4j 作为 conda 软件包。我们“pyspark”软件包中捆绑了 Log4j 的较旧的 1.x 版本,因此不受此漏洞的影响。我们正在继续积极分析我们仓库中的其他软件包以查找捆绑的 Log4j 存档,并将更新本文档以反映我们的调查结果。
社区构建的、Anaconda 托管的软件包
鉴于 CVE-2021-44228 的严重性,Anaconda 选择采取额外的步骤,与 conda-forge 和 bioconda 等社区合作伙伴合作,帮助他们确定是否有任何软件包受此漏洞的影响。我们将更新本文档以反映任何调查结果。
Anaconda 内部系统
与我们对 Anaconda 产品和 Conda 软件包的审查相结合,我们还对 Anaconda 的内部系统进行了彻底分析。我们的调查结果表明,我们的内部系统不受 Log4j 漏洞的影响。
Anaconda 支持
如果您是 Anaconda 客户,并且对 Log4j 漏洞如何影响您有任何其他问题,请联系Anaconda 支持团队。我们非常重视 Anaconda 中的开源软件风险和漏洞,目前正投入所有员工资源来调查 CVE-2021-44228 的影响。我们将持续更新本文档,以提供最新信息。
2021-12-14 更新
NVD 发布了CVE-2021-4104,涉及 Log4j 1.2 中的 JMSAppender,作为在分析 CVE-2021-44228 期间采取的预防措施。此 CVE 仍在等待 NIST 的正式分析;并且与 44228 不同,此 CVE 还没有与之相关的具体攻击。此外,它仅在应用程序修改了 Log4j 的默认配置以使用 JMSAppender 模块时才适用。
唯一受此新的待处理 CVE 影响的 Anaconda 产品是 Anaconda 企业版 5,并且仅当与自定义 Log4j 配置的 Apache Livy 一起使用时才会受到影响。我们上面提供的现有说明确保您也免受此 CVE 的影响。
Anaconda 正在监控此漏洞,并将更新本文档以反映任何调查结果。
相关资源
