适用版本: 6.4, 6.3

问题描述

COMSOL 软件是否包含 Apache Log4j 2.x 库?如果包含,是否受到其中已知安全漏洞的影响?

解决方法

概述

以下 COMSOL 产品内置了 Apache Log4j 2.x 库:

  • COMSOL Multiphysics
  • COMSOL Server
  • COMSOL 模型管理器服务器(含托管搜索索引服务器)

COMSOL 始终致力于在软件更新中保持第三方软件的最新状态。请注意,内置的 Apache Log4j 2.x 软件不支持手动更新。关于已知 Apache Log4j 2.x 安全漏洞的详细信息,请参阅下文。

安全漏洞

Apache Logging Services 安全团队在 Apache Logging Services Security 页面公布了已知安全漏洞。

由于 COMSOL 软件仅使用了 Apache Log4j 2.x 的有限功能子集,且未启用部分受影响的特性,因此并非 Apache Log4j 2.x 库的所有安全漏洞都会对 COMSOL 产生影响。

  • CVE-2026-34477
    评估结果:不受影响
    COMSOL 软件未启用 Socket Appender,因此 Apache Log4j 2.25.3 及更低版本中 TLS 主机名验证不充分的问题不适用。

  • CVE-2026-34478
    评估结果:不受影响
    COMSOL 软件未启用 RFC 5424 Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的日志注入路径问题不适用。

  • CVE-2026-34479 与 CVE-2026-34480
    评估结果:不受影响
    COMSOL 软件未启用 XML Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的输入净化缺失问题不适用。

  • CVE-2026-34481
    评估结果:不受影响
    COMSOL 软件未启用 JSON Template Layout 功能,因此 Apache Log4j 2.25.3 及更低版本中报告的非有限浮点值相关问题不适用。

Apache Log4j 2.x 版本

当前受支持的 COMSOL 版本中包含的 Apache Log4j 2.x 库版本如下:

  • COMSOL 6.4 更新 3:
    Apache Log4j 2.26.0
  • COMSOL 6.3 更新 3:
    Apache Log4j 2.25.3

通常情况下,您可以通过检查在 COMSOL 安装目录下搜索 log4j 得到的所有 .jar 文件名,来确定特定 COMSOL 软件安装包中所包含的 Apache Log4j 软件版本。各操作系统的默认安装目录如下:

  • Windows 系统:C:\Program Files\COMSOL\COMSOL64\[Product]\
  • macOS 系统:/Applications/COMSOL64/[Product]/
  • Linux 系统:/usr/local/comsol64/[product]/
  • [Product] 路径段:Multiphysics 对应 COMSOL Multiphysics,Server 对应 COMSOL Server,ModelManagerServer 对应“COMSOL 模型管理器服务器”。