问题描述
COMSOL 软件是否包含 Apache Log4j 2.x 库?如果包含,是否受到其中已知安全漏洞的影响?
解决方法
概述
以下 COMSOL 产品内置了 Apache Log4j 2.x 库:
- COMSOL Multiphysics
- COMSOL Server
- COMSOL 模型管理器服务器(含托管搜索索引服务器)
COMSOL 始终致力于在软件更新中保持第三方软件的最新状态。请注意,内置的 Apache Log4j 2.x 软件不支持手动更新。关于已知 Apache Log4j 2.x 安全漏洞的详细信息,请参阅下文。
安全漏洞
Apache Logging Services 安全团队在 Apache Logging Services Security 页面公布了已知安全漏洞。
由于 COMSOL 软件仅使用了 Apache Log4j 2.x 的有限功能子集,且未启用部分受影响的特性,因此并非 Apache Log4j 2.x 库的所有安全漏洞都会对 COMSOL 产生影响。
CVE-2026-34477
评估结果:不受影响
COMSOL 软件未启用 Socket Appender,因此 Apache Log4j 2.25.3 及更低版本中 TLS 主机名验证不充分的问题不适用。CVE-2026-34478
评估结果:不受影响
COMSOL 软件未启用 RFC 5424 Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的日志注入路径问题不适用。CVE-2026-34479 与 CVE-2026-34480
评估结果:不受影响
COMSOL 软件未启用 XML Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的输入净化缺失问题不适用。CVE-2026-34481
评估结果:不受影响
COMSOL 软件未启用 JSON Template Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的非有限浮点值相关问题不适用。
Apache Log4j 2.x 版本
当前受支持的 COMSOL 版本中包含的 Apache Log4j 2.x 库版本如下:
- COMSOL 6.4 更新 3:
Apache Log4j 2.26.0 - COMSOL 6.3 更新 3:
Apache Log4j 2.25.3
通常情况下,您可以通过检查在 COMSOL 安装目录下搜索 log4j 得到的所有 .jar 文件名,来确定特定 COMSOL 软件安装包中所包含的 Apache Log4j 软件版本。各操作系统的默认安装目录如下:
- Windows 系统:
C:\Program Files\COMSOL\COMSOL64\[Product]\ - macOS 系统:
/Applications/COMSOL64/[Product]/ - Linux 系统:
/usr/local/comsol64/[product]/ [Product]路径段:Multiphysics对应 COMSOL Multiphysics,Server对应 COMSOL Server,ModelManagerServer对应“COMSOL 模型管理器服务器”。
COMSOL 已尽一切合理的努力核实本页面所提供的信息。但请注意,所有资源与文档仅供学习参考。COMSOL 不对其有效性作任何明示或暗示的声明,亦不承担因所披露数据的准确性而产生的任何法律责任。本文提及的所有商标均为其各自所有者的财产。有关完整的商标信息,请参阅相关产品手册。
