适用于: COMSOL 模型管理器, COMSOL Multiphysics®, COMSOL Server™ 版本: 所有版本

问题描述

COMSOL 软件是否包含 Apache Log4j 库,如果包含,它是否受到以下具有“通用漏洞披露”(CVE) 名称的漏洞的影响:CVE-2019-17571、CVE-2020-9488、CVE-2021-4104、CVE-2021-44228、CVE-2021-44832、CVE-2021-45046、CVE-2021-45105、CVE-2022-23302、CVE-2022-23305 和 CVE-2022-23307?

解决方法

总结

对于 COMSOL 6.0 版本,您应该尽快安装更新 1,因为它包含 Log4j2 到 2.17.1 版本的更新(不受这些漏洞的影响),并包含修补版本 Log4j 1.2.17,其中移除了有漏洞的类文件。

COMSOL 5.6 及更早版本仅包含 Log4j 1.2.17。虽然我们认为它包含的漏洞不会暴露在我们的软件中,但如果您想避免在安全扫描软件中出现误报,请参见下面的说明,了解如何手动进行修补。

COMSOL 6.0 版本

COMSOL Multiphysics 和“模型管理器服务器”采用 Log4j 2.x 库。当应用 2022 年 2 月 11 日发布的 COMSOL 软件 6.0 版本更新 1 时,COMSOL Multiphysics 中使用的 Log4j 2.x 库会更新到 2.17.1 版本,其中降低了 CVE-2021-44832、CVE-2021-45105、CVE-2021-45046 和 CVE-2021-44228 漏洞的风险。应用更新 1 后,COMSOL Multiphysics 的开发版本会增加到 354。通过下载 COMSOL Multiphysics 的完整版本,您可以自动获取开发版本 354。

此外,COMSOL 6.0 版本还使用 Log4j 1.x 库。应用 COMSOL 软件 6.0 更新 1 时,会安装 Log4j 1.2.17 的修补版本。在这个修补版本中,COMSOL 移除了 JMSSink.classJMSAppender.classSocketServer.classSMTPAppender.classSMTPAppender$1.classJDBCAppender.classorg.apache.log4j.chainsaw 包,分别降低了 CVE-2022-23302、CVE-2021-4104、CVE-2019-17571、CVE-2020-9488、CVE-2022-23305 和 CVE-2022-23307 漏洞的风险。

FlexNet 许可证服务器不使用任何 Log4j 库。

COMSOL Multiphysics、COMSOL Server 和 COMSOL 模型管理器服务器

有关如何安装更新 1 的操作说明,请参见产品更新页面

COMSOL Compiler

用于通过 COMSOL Compiler 编译的可执行文件的运行时包含与编译它的相应 COMSOL Multiphysics 版本相同的 Log4J 版本。因此,只要在编译 App 时,COMSOL Multiphysics 6.0 的开发版本为 354(通过应用上述升级或直接安装最新开发版本均可),则 COMSOL Compiler 运行时中包含的 Log4j 版本将如上所述不易受到影响。

COMSOL 5.6 及更早版本

COMSOL 5.6 版本使用 Log4j 1.x 库,但它不受任何已知漏洞的影响。

更详细地说,COMSOL 5.2a 及更早版本使用的 Log4j 版本为 1.2.16,而在 COMSOL 5.3 及更高版本中,则使用 Log4j 1.2.17 版本。这适用于 COMSOL Multiphysics 和 COMSOL Server。

除此之外,COMSOL 软件不使用 Log4j 1.x 的日志服务器,因此不会受到 Log4j 1.2+ 中 SocketServer 类的 CVE-2019-17571 的影响。另外,COMSOL 软件没有配置为使用 Log4j 1.x 的 JMSAppender,因此不易受到 CVE-2021-4104 的影响。

请注意,COMSOL 5.6 及更早版本不包含 log4j 2.x 版本,因此不易受到 CVE-2021-44832、CVE-2021-45105、CVE-2021-45046 和 CVE-2021-44228 的影响。

虽然我们不认为我们的软件中会暴露 Log4j 1.x 包含的漏洞,但您可以使用外部扫描工具手动进行修补。这种手动修补将实现与 COMSOL 6.0 更新 1 中相同的缓解措施,并可用于避免安全扫描软件的误报等。要在 COMSOL 5.6 或更早版本的安装中修补 Log4j 1.x,您可以使用 GitHub 上基于 Apache 许可证 2.0 的开源扫描程序:

  1. 针对您的平台下载 CVE-2021-44228-Scanner 软件。
  2. 以管理用户的身份运行它,启用 --scan-log4j1--fix 选项,并将 COMSOL 安装目录作为目标路径。
  3. 该软件应该报告它已经缓解了 Log4j 1.x。根据安装类型和安装的模块,扫描程序可以在以下文件之一或两者中找到要缓解的 Log4j 文件:log4j-1.2.17.jarlib.external.poi_4.1.2.jar