更新:我们确认,现在所有第三方供应商均已完成打补丁的工作,可解决当前在 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。
简短概述
2021 年 12 月 9 日,我们获悉 Log4j(Apache 软件基金会开发的一个 Java 库)中存在一个严重漏洞,编号为 CVE-2021-44228。不久之后,我们获悉 CVE-2021-45046 也涉及 Log4j。Slack 与许多基于云的服务一样,也会使用 Log4j 来处理日志。
因此我们立即采取措施,对我们的基础设施和客户端应用程序进行了评估和更新,以减轻该漏洞造成的影响。我们于 2021 年 12 月 13 日完成了对 CVE-2021-44228 的初步缓解措施,并于 12 月 17 日完成了对 CVE-2021-45046 的缓解措施。截至 2021 年 12 月 17 日,对于易受到当前在 CVE-2021-44228 和 CVE-2021-45046 中所发现问题影响的 Slack 生产服务,我们已应用了所有必要的补丁和缓解措施,并且正在执行最终的验证步骤。
哪些用户会受到影响?
我们尚未完成影响分析。对于任何使 Slack.com 服务和客户数据面临风险的漏洞,我们都会进行调查,以查明攻击者是否利用漏洞来访问客户数据。这项针对 CVE-2021-44228 和 CVE-2021-45046 的调查目前尚在进行中,可能需要一些时间才能完成。如果我们发现任何客户的数据由于此漏洞而遭到泄露,我们会立即与客户联系。
Slack 还需要做些什么?
我们仍在验证缓解过程中没有任何遗漏之处,确保临时缓解措施持久化,同时通过调查来确定在 Slack 易受攻击期间是否有任何客户的数据受到影响。
[编者按:第三方供应商的状态现已经得到确认,请见上面的更新。] 此外,对于部分供应商是否已对他们的服务完成全面修补,我们仍在确认中。我们将继续监测与 Log4J 漏洞相关的发展,并根据情况更新我们的缓解措施。
我需要做什么?
如果适用,我们建议客户调查与 Slack 集成相关的风险(请见下文)。Slack 服务本身已在后端更新。客户无需更新未使用 Log4j 的客户端,也无需进行任何更改,即可接收为保护 Slack 服务而部署的补丁和缓解措施。
致那些需要了解更多详情的用户
为了应对这些漏洞,我们检查了生产、开发和企业运营环境中的服务器、我们的代码存储库和运行的生产流程,以找出 Log4j 的所有潜在用途。我们使用这些数据编制了一份所有潜在易受攻击服务的列表,并开始应用补丁或解决方法来减轻问题的潜在影响。目前,我们已经针对 Slack 服务制定了缓解措施,这些措施与针对 CVE-2021-44228 和 CVE-2021-45046 的建议一致。随着新信息的提供,我们将继续评估这些漏洞的潜在影响。
虽然 Slack 服务和 API 使用 Log4j 处理数据,但移动版和桌面版 Slack 客户端不受这些漏洞的影响,因为它们不使用 Log4j。
我们无法评估这些漏洞对我们应用目录中服务提供商的影响。这些服务提供商有的可能会使用 Log4j。请使用 Slack 应用目录中应用列表上的“获取支持”链接,直接联系服务提供商以获取更多信息。
如果你创建了与 Slack 中的数据进行交互的专属集成(亦称“自定义集成”),你应该查看该集成可能对你自己使用 Log4j 产生的影响,以确保:
- 你通过这些自定义集成写入 Slack 的数据是 Slack 负责保护的,Slack 的服务器已根据上述信息进行了更新,以缓解 Log4j 漏洞的影响。
- 如果你的 Slack 工作区中的所有数据都来自受信任的来源,那么你从 Slack 读取并发送到自己基础设施的数据风险较低。
- 但是,如果你有不完全信任的来源将数据发布到你的 Slack 工作区,你应该立即进行审查,以确保你托管的所有支持通过 Log4j 进行日志记录的基础设施都已打补丁,并且是最新版本。
还有什么需要了解的?
有几个很好的来源可以提供有关 Log4j 库及相关问题的背景信息。对于那些想要了解更多背景信息的用户,我们建议访问以下资源:
如有技术问题,请联系 Slack 客服人员。他们会很乐意创建一个案例。