关于 Apache Log4j2 漏洞的更新

更新：我们确认，现在所有第三方供应商均已完成打补丁的工作，可解决当前在 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

简短概述

2021 年 12 月 9 日，我们获悉 Log4j（Apache 软件基金会开发的一个 Java 库）中存在一个严重漏洞，编号为 CVE-2021-44228。不久之后，我们获悉 CVE-2021-45046 也涉及 Log4j。Slack 与许多基于云的服务一样，也会使用 Log4j 来处理日志。

因此我们立即采取措施，对我们的基础设施和客户端应用程序进行了评估和更新，以减轻该漏洞造成的影响。我们于 2021 年 12 月 13 日完成了对 CVE-2021-44228 的初步缓解措施，并于 12 月 17 日完成了对 CVE-2021-45046 的缓解措施。截至 2021 年 12 月 17 日，对于易受到当前在 CVE-2021-44228 和 CVE-2021-45046 中所发现问题影响的 Slack 生产服务，我们已应用了所有必要的补丁和缓解措施，并且正在执行最终的验证步骤。

哪些用户会受到影响？

我们尚未完成影响分析。对于任何使 Slack.com 服务和客户数据面临风险的漏洞，我们都会进行调查，以查明攻击者是否利用漏洞来访问客户数据。这项针对 CVE-2021-44228 和 CVE-2021-45046 的调查目前尚在进行中，可能需要一些时间才能完成。如果我们发现任何客户的数据由于此漏洞而遭到泄露，我们会立即与客户联系。

Slack 还需要做些什么？

我们仍在验证缓解过程中没有任何遗漏之处，确保临时缓解措施持久化，同时通过调查来确定在 Slack 易受攻击期间是否有任何客户的数据受到影响。

[编者按：第三方供应商的状态现已经得到确认，请见上面的更新。] 此外，对于部分供应商是否已对他们的服务完成全面修补，我们仍在确认中。我们将继续监测与 Log4J 漏洞相关的发展，并根据情况更新我们的缓解措施。

我需要做什么？

如果适用，我们建议客户调查与 Slack 集成相关的风险（请见下文）。Slack 服务本身已在后端更新。客户无需更新未使用 Log4j 的客户端，也无需进行任何更改，即可接收为保护 Slack 服务而部署的补丁和缓解措施。

致那些需要了解更多详情的用户

为了应对这些漏洞，我们检查了生产、开发和企业运营环境中的服务器、我们的代码存储库和运行的生产流程，以找出 Log4j 的所有潜在用途。我们使用这些数据编制了一份所有潜在易受攻击服务的列表，并开始应用补丁或解决方法来减轻问题的潜在影响。目前，我们已经针对 Slack 服务制定了缓解措施，这些措施与针对 CVE-2021-44228 和 CVE-2021-45046 的建议一致。随着新信息的提供，我们将继续评估这些漏洞的潜在影响。

虽然 Slack 服务和 API 使用 Log4j 处理数据，但移动版和桌面版 Slack 客户端不受这些漏洞的影响，因为它们不使用 Log4j。

我们无法评估这些漏洞对我们应用目录中服务提供商的影响。这些服务提供商有的可能会使用 Log4j。请使用 Slack 应用目录中应用列表上的“获取支持”链接，直接联系服务提供商以获取更多信息。

如果你创建了与 Slack 中的数据进行交互的专属集成（亦称“自定义集成”），你应该查看该集成可能对你自己使用 Log4j 产生的影响，以确保：

• 你通过这些自定义集成写入 Slack 的数据是 Slack 负责保护的，Slack 的服务器已根据上述信息进行了更新，以缓解 Log4j 漏洞的影响。
• 如果你的 Slack 工作区中的所有数据都来自受信任的来源，那么你从 Slack 读取并发送到自己基础设施的数据风险较低。
• 但是，如果你有不完全信任的来源将数据发布到你的 Slack 工作区，你应该立即进行审查，以确保你托管的所有支持通过 Log4j 进行日志记录的基础设施都已打补丁，并且是最新版本。

还有什么需要了解的？

有几个很好的来源可以提供有关 Log4j 库及相关问题的背景信息。对于那些想要了解更多背景信息的用户，我们建议访问以下资源：

• 问题的通俗解释
• 新闻报道
• Apache 发布的详细信息

如有技术问题，请联系 Slack 客服人员。他们会很乐意创建一个案例。