Acoustic 对 Log4j 漏洞的立场

shafiaakhter01

2021年12月9日，Apache软件基金会公开披露了其热门Java日志库Log4j中存在的一个远程代码执行(RCE)漏洞(CVE-2021-44228)。在发现该安全通告后，Acoustic公司立即开始评估该漏洞对Acoustic（包括Acoustic Marketing Cloud、Tealeaf by Acoustic和DemandTec）的潜在影响。

Acoustic 到目前为止完成了什么？
Acoustic 快速审查了我们的平台，发现了 Log4j 易受攻击版本的实例。我们已修补或缓解了已识别的库，但由于此漏洞的性质，行业修复指南会随着时间的推移而不断演变，Apache 随后也公布了新的相关漏洞（包括 CVE-2021-45046、CVE-2021-4104 和 CVE-2021-45105）。Acoustic 一直努力遵循最新的行业建议，并将继续关注此情况以及不断更新的修复方案指南。

由于此漏洞在全球软件生态系统中广泛存在且具有普遍性，英国电邮清单 Acoustic 还积极与我们的技术合作伙伴合作，以确保全面应用此漏洞的测试、验证和修复过程。

此外，自该漏洞发布以来，Acoustic 一直在积极监控和测试任何试图利用该漏洞的行为，并且我们将继续这样做。

截至 2022 年 1 月 6 日的更新
Acoustic 已获悉 CVE-2021-44832 漏洞，该漏洞影响 Log4j 2.17.0 及以上版本，需要特定配置才能通过 RCE 攻击进行利用。Acoustic 已审查该漏洞；根据所需的特定配置以及现有的防护措施和缓解措施，Acoustic 将遵循我们标准的漏洞修复流程。Acoustic 持续监测 Log4j 漏洞的更新和发展情况。我们持续监测 Acoustic 系统和环境中是否存在 Log4j 漏洞及利用尝试。

后续步骤
如果有任何变更，Acoustic 将继续在此处发布更新。如果您是 Acoustic 客户，并且还有其他疑问，请联系您的客户支持合作伙伴或我们的支持团队。