Log4j - GoAnywhere Mitigation Steps

原廠資訊

https://www.goanywhere.com/cve-2021-44228-and-cve-2021-45046-goanywhere-mitigation-steps

中文說明如下:

?CVE-2021-44832

GoAnywhere安裝目錄下之config目錄裡的log4j2.xml檔案,其預設值不包含JDBC Appender．如果沒有人為變更過，或變更過但仍沒有JDBC Appender段落, 則完全不受此弱點影響

如果您曾加入JDBC Appender段落, 但實務上不會用到它, 建議將這<JDBC> tag 及其內容移除
若您實務上會用到JDBC Appender, 請確認 jndiName 只含 java protocol, 例如
<DataSource jndiName="java:/comp/env/jdbc/LoggingDataSource" />

log4j2.xml 檔案如有變更, 須重啟GoAnywher服務

CVE-2021-45105

請升級GoAnywhere產品至最新版（December 16, 2021）
log4j2.xml 內若含有 ${ctx: 字眼, 請移除之, 例如以 %X{example} 取代 ${ctx:example}
以上須重啟GoAnywher服務

?CVE-2021-44228?and?CVE-2021-45046

升級 GoAnywhere MFT 版本到 version 6.8.6
升級 GoAnywhere Gateway 版本到 version 2.8.4
升級 GoAnywhere MFT Agents 版本到 version 1.6.5

以上如有任何問題, 請發信給 support@asiapeak.com