流行的 cPanel 网络托管服务器控制面板软件最近发布了一个补丁,以修复在用于电子邮件的部分软件中发现的 log4j Java 库中的一个严重缺陷。 该漏洞本身被命名为 Log4Shell。
Log4j 严重 Log4Shell 漏洞
Log4j 是一个 Java 库,它为许多在线软件产品添加了插入式功能。 对于最终用户来说,这不是他们通常会下载和使用的东西。
它是一个 Java 库,将作为软件的一部分包含在内。 因此,最终用户通常不知道他们使用的软件是否包含漏洞。
log4j 漏洞在 1 到 10 的范围内被评为 10,其中 10 代表最危险的漏洞级别。
安全研究人员将该漏洞描述为灾难性的:
这个相当灾难性的漏洞会影响任何使用 log4j 记录包括用户输入在内的任何内容。 这意味着它影响几乎所有接受来自 Web 的输入的 Java 应用程序。
— Wordfence (@wordfence) 2021 年 12 月 10 日
美国国土安全部敦促迅速采取行动:
所有组织都应升级到 Log4j 版本 2.15.0 或立即应用适当的供应商推荐的缓解措施。
阅读更多来自 @CISAgov 关于如何保护您的组织⬇️
—国土安全部(@DHSgov) 2021 年 12 月 12 日
cPanel Web 主机控制面板
cPanel 是一个控制面板,可让网站运营商轻松管理其网站托管环境。
cPanel 提供了一个类似于桌面界面的图形用户界面 (GUI)。 它可以轻松执行诸如更新网站使用的 PHP 版本、控制防火墙和添加安全证书等任务。
根据商业智能公司 内置,有超过 300 万客户使用 cPanel。
美国政府关于 Log4Shell 漏洞的声明
美国政府网络安全和基础设施安全局 (CISA) 于 2021 年 11 月 11 日星期六发表声明,敦促在其产品中使用 log4j 库的软件开发商和供应商立即修补其产品,并让供应商通知客户。
CISA 主任 Jen Easterly 写道:
“CISA 正在与我们的公共和私营部门合作伙伴密切合作,以主动解决影响包含 log4j 软件库的产品的关键漏洞。
…最终用户将依赖他们的供应商,供应商社区必须立即识别、缓解和修补使用该软件的各种产品。
供应商还应与客户沟通,以确保最终用户知道他们的产品包含此漏洞,并应优先考虑软件更新。”
声明称,联合网络防御合作组织、国家安全局和联邦调查局也在协调他们的积极立场,以提高对问题的认识并减轻漏洞。
该声明补充说:
“我们继续敦促所有组织审查最新的 CISA 当前活动警报并升级到 log4j 版本 2.15.0,或立即应用其适当的供应商推荐的缓解措施。
需要明确的是,这个漏洞带来了严重的风险。 我们只会通过政府和私营部门之间的合作努力将潜在影响降到最低。 我们敦促所有组织加入我们的这一重要努力并采取行动。”
cPanel 插件 Log4Shell 漏洞
易受攻击的 Log4j Java 库是在一个名为 cPanel Dovecot Solr 插件的基本 cPanel 插件中发现的。
该插件是 IMAP 电子邮件协议的重要组成部分。
cPanel 将其描述为:
“cPanel Solr 插件支持 Internet 消息访问协议 (IMAP) 全文搜索 (FTS) 索引(由 Apache Solr™ 提供支持),为 IMAP 邮箱提供快速搜索功能。”
官方的 cPanel 论坛讨论是最先确定 cPanel 包含 log4j 库并因此可能带来安全风险的讨论之一。
几小时内,cPanel 技术分析师宣布补丁已经发布。
“我们已将 CVE-2021-44228 缓解更新发布到 cpanel-dovecot-solr RPM。
获取 CVE-2021-44228 的缓解措施
您可以运行 cPanel 更新,它将为您更新 cpanel-dovecot-solr RPM:
如何更新 cPanel/WHM”如果您之前卸载了 cPanel Solr,您可以按照本指南中的步骤重新安装它
如何安装 cPanel Solr“
引文
cPanel论坛讨论
log4j CVE-2021-44228,它会影响 Cpanel 吗?
