Apache Log4J 1.x 安全漏洞

问题描述

COMSOL 软件是否包含 Apache Log4j 1.x 库？如果包含，软件是否会受到以下通用漏洞披露 (CVE) 编号所指出的安全漏洞的影响？涉及的漏洞包括：CVE-2019-17571、CVE-2020-9488、CVE-2021-4104、CVE-2021-44228、CVE-2021-44832、CVE-2021-45046、CVE-2021-45105、CVE-2022-23302、CVE-2022-23305 以及 CVE-2022-23307。

解决方法

总体概述

COMSOL 6.1 版本不存在相关漏洞风险。

对于 COMSOL 6.0 版本，建议您尽快安装更新 1，其中已将 Log4j2 升级至 2.17.1 版本（不受上述漏洞影响），并提供了经过修补的 Log4j 1.2.17 版本（移除了存在漏洞的类文件）。

COMSOL 5.6 及更早版本仅包含 Log4j 1.2.17。虽然我们认为这些漏洞在实际软件运行中不会被触发，但如果您希望避免安全扫描软件产生误报，可参考下文说明手动进行修补。

COMSOL 6.1 及更高版本

COMSOL 6.1 及后续版本包含 Log4j2 2.17.1 或更高版本，完全不包含任何 Log4j 1.x 版本，因此不受上述漏洞影响。

COMSOL 6.0 版本

COMSOL Multiphysics 和“模型管理器服务器”均使用 Log4j 2.x 库。安装于 2022 年 2 月 11 日发布的 COMSOL 软件 6.0 版本更新 1 后，COMSOL Multiphysics 所使用的 Log4j 2.x 库将升级至 2.17.1 版本，从而彻底修复 CVE-2021-44832、CVE-2021-45105、CVE-2021-45046 及 CVE-2021-44228 等漏洞。安装该更新 1 后，COMSOL Multiphysics 的开发版本将更新至 354。通过下载完整的 COMSOL Multiphysics 安装包，您将自动获得开发版本 354。

COMSOL 6.0 版本同时也使用了 Log4j 1.x 库。安装 COMSOL 软件 6.0 版本更新 1 后，系统会部署经过修补的 Log4j 1.2.17 版本，其中，COMSOL 移除了以下组件：JMSSink.class、JMSAppender.class、SocketServer.class、SMTPAppender.class、SMTPAppender$1.class、JDBCAppender.class 和 org.apache.log4j.chainsaw 软件包，以分别缓解相应的漏洞：CVE-2022-23302、CVE-2021-4104、CVE-2019-17571、CVE-2020-9488、CVE-2022-23305 和 CVE-2022-23307。

FlexNet 许可证服务器不使用任何 Log4j 库。

COMSOL Multiphysics、COMSOL Server 和 COMSOL 模型管理器服务器

有关如何安装更新 1 的操作说明，请参见产品更新页面。

COMSOL Compiler

使用 COMSOL Compiler 编译生成的可执行文件，其 Runtime 环境包含的 Log4j 版本与编译时所用的 COMSOL Multiphysics 相应版本一致。因此，只要在编译 App 时，COMSOL Multiphysics 6.0 版本为开发版本 354（可通过上述方式进行升级，或直接安装最新的开发版本），那么 COMSOL Compiler Runtime 中包含的 Log4j 版本同样不受上述漏洞的影响。

COMSOL 5.6 及更早版本

COMSOL 5.6 版本虽然使用了 Log4j 1.x 库，但经评估，不受任何已知漏洞的影响。

具体而言，COMSOL 5.2a 及更早版本使用的 Log4j 版本为 1.2.16，而 COMSOL 5.3 及更高版本使用的是 Log4j 1.2.17。这一情况适用于 COMSOL Multiphysics 和 COMSOL Server。

此外，COMSOL 软件并未使用 Log4j 1.x 中的日志服务器功能，因此不会受到 Log4j 1.2+ 中 SocketServer 类相关的 CVE-2019-17571 漏洞影响。同时，COMSOL 软件也未配置使用 Log4j 1.x 的 JMSAppender，因此同样不受 CVE-2021-4104 漏洞的影响。

需要注意的是，由于 COMSOL 5.6 及更早版本未包含 log4j 2.x 版本，因此不受 CVE-2021-44832、CVE-2021-45105、CVE-2021-45046 及 CVE-2021-44228 漏洞的影响。

尽管现有证据表明 COMSOL 软件并未暴露 Log4j 1.x 中存在的安全漏洞，但如果您希望规避安全扫描软件可能产生的误报，我们建议您可以参考以下说明，使用外部扫描工具对软件进行手动修补。这种修补方式能够实现与 COMSOL 6.0 版本更新 1 相同的缓解效果。如需对已安装的 COMSOL 5.6 或更早版本中的 Log4j 1.x 进行修补，请使用 GitHub 上基于 Apache License 2.0 协议开源的扫描工具，具体操作步骤如下：

1. 下载适用于您当前操作系统的 CVE-2021-44228-Scanner 软件。
2. 以管理员身份运行该软件，并启用 --scan-log4j1 和 --fix 选项，同时将 COMSOL 安装目录指定为目标路径。
3. 软件执行完毕后，将报告已完成对 Log4j 1.x 的缓解处理。根据您的具体安装类型及已安装模块的不同，扫描工具可能会在以下一个或两个文件中检测到需要处理的 Log4j 相关文件：log4j-1.2.17.jar 和 lib.external.poi_4.1.2.jar。

按类别浏览