Как правило, нет. Только люди, у которых установлен определенный пакет Java, могут быть уязвимы.
Деб-пакет (apache-log4j2) не является частью стандартной установки Ubuntu. Большинство уязвимых систем работают либо с веб-серверами, либо с Java-приложениями (например, с серверами Minecraft). Если вы не устанавливали серверное приложение, то вряд ли вы подвержены этой уязвимости.
Большинство затронутых людей, которые установили программное обеспечение с помощью пакета deb, уже получили патч для закрытия уязвимости.
Подкаст по безопасности Ubuntu #142 обсуждает CVE, и его определенно стоит послушать! Спасибо трудолюбивым инженерам из команды безопасности Ubuntu, которые обеспечивают безопасность наших систем Ubuntu.
Если вы установили log4j2 как часть веб-сервера или Java-приложения с помощью пакета Snap, обратитесь к автору этого снимка за обновлением безопасности.
Если вы установили log4j2 как часть своего веб-сервера или Java-приложения каким-либо другим способом (Appimage, Flatpak, Pip, Brew, скомпилировано и т. д.), то вам решать вернуться к этому источнику и найти исправленную версию... или прочитать CVE для ручных настроек смягчения последствий.
Если вы установили целый программный стек или платформу, состоящую из множества взаимосвязанных приложений, возможно, что уязвимое ПО может быть встроено в этот стек. Обратитесь к источнику, из которого вы его получили.
От https://ubuntu.com/security/notices/USN-5192-1
Релизы
Ubuntu 21.10 Ubuntu 21.04 Ubuntu 20.04 LTS Ubuntu 18.04 LTS
Пакеты
apache-log4j2 — Apache Log4j — платформа ведения журналов для Java
...и...
Инструкции по обновлению
Проблему можно решить, обновив систему до следующих версий пакетов:
Давайте немного расширим это для пользователей пакета deb:
Как узнать, затронуты ли вы
Просто спросите:
me@me:~$ apt list apache-log4j2
Возможны три результата:
Листинг... Готово
me@me:~$ <-- Ничего не выводится. Он не установлен.
Вы не уязвимы.
apache-log4j2/focal,now 2.11.2-1 amd64 <-- Он доступен, но НЕ установлен.
Вы не уязвимы.
apache-log4j2/focal,now 2.11.2-1 amd64 [установлен] <-- Он установлен
Вы МОЖЕТЕ быть уязвимы.
Если вы не уязвимы, вы можете остановиться здесь.
Если вы МОЖЕТЕ быть уязвимым, следующее, на что следует обратить внимание, — это версия пакета, возвращаемая этой строкой.
Убунту 18.04
apache-log4j2/bionic, теперь 2.10.0-2 amd64 [установлен] Уязвим
apache-log4j2/bionic, теперь 2.10.0-2ubuntu0.1 amd64 [установлено] НЕ УЯЗВИМО
Убунту 20.04
apache-log4j2/focal, теперь 2.11.2-1 amd64 [установлен] Уязвим
apache-log4j2/focal, теперь 2.15.0-0.20.04.1 amd64 [установлено] НЕ УЯЗВИМО
Убунту 21.04
apache-log4j2/hirsute, теперь 2.13.3-1 amd64 [установлен] Уязвим
apache-log4j2/hirsute, теперь 2.15.0-0.21.04.1 amd64 [установлено] НЕ УЯЗВИМО
Убунту 21.10
apache-log4j2/impish, теперь 2.13.3-1 amd64 [установлен] Уязвим
apache-log4j2/impish, теперь 2.15.0-0.21.10.1 amd64 [установлено] НЕ УЯЗВИМО
Версии, которые НЕ являются уязвимыми, уже были исправлены командой безопасности Ubuntu. Большинство людей уже получили исправленную версию через автоматические обновления.
- Вот что делает автоматическое обновление! Он устанавливает обновления безопасности, не беспокоя вас.
Если ваша система уязвима, то просто судо подходящее обновление и судо подходящее обновление чтобы установить последние обновления безопасности.
О снимках: возможно, что неисправленный log4j2 находится в некоторых пакетах моментальных снимков.
- Мы, вероятно, не будем знать об этом.Аудит программного обеспечения Snap, если таковой имеется, проводится членами сообщества. Аудит не требуется для выпуска моментального пакета.
- Весь смысл мгновенного ограничения заключается в том, чтобы предотвратить угрозу такой уязвимости для всей системы.
- Если вы обнаружите уязвимый пакет snap, отправьте отчет об ошибке автору!
- Snapd проверяет наличие обновленных пакетов несколько раз в день. Если уязвимый пакет моментальных снимков будет исправлен, вы получите это исправление в течение нескольких часов.
