更新:我們已確定所有第三方廠商皆修復了 CVE-2021-44228 和 CVE-2021-45046 目前識別的問題。
摘要速覽
我們在 2021 年 12 月 9 日得知 Apache Software Foundation 的 Java 程式庫 Log4j 發生重大漏洞,詳情請參閱 CVE-2021-44228。稍後,我們得知 CVE-2021-45046 也受到 Log4j 波及。Slack 與許多雲端服務一樣,都使用 Log4j 來處理記錄檔。
我們已立即採取行動,評估基礎架構和用戶端應用程式,並透過更新減少漏洞造成的影響。我們已在 2021 年 12 月 13 日完成初步的 CVE-2021-44228 緩解措施,並在 12 月 17 日完成 CVE-2021-45046 緩解措施。截至 2021 年 12 月 17 日,我們已針對容易受目前 CVE-2021-44228 和 CVE-2021-45046 問題影響的 Slack 生產服務,套用所有必要的修補程式和緩解措施,並正在執行最後的驗證步驟。
受影響的對象有哪些?
我們尚未完成影響分析作業。對於任何會使得 Slack.com 服務與客戶資料暴露在風險中的漏洞,我們一律會進行調查以確定是否有攻擊者利用漏洞存取客戶資料。我們正在進行 CVE-2021-44228 和 CVE-2021-45046 的調查,並可能需要一些時間才能完成。如果我們發現任何客戶的資料因為此漏洞而遭到洩漏,我們將立即聯絡客戶。
Slack 要怎麼做?
我們仍在確認緩解程序沒有任何差錯、確保暫時性的緩解措施永久有效,並調查以判斷是否有任何客戶資料在 Slack 受攻擊期間受到影響。
[編按:我們現在已確認第三方廠商的狀態,詳見上方更新內容。]此外,我們也仍在等待部分廠商確認他們已完全修復其服務。我們將繼續監控有關 Log4j 漏洞的發展,並會視需要更新緩解措施。
我該怎麼做?
可以的話,我們建議客戶調查與 Slack 整合相關的風險 (請參閱下方資訊)。Slack 服務本身已於後端更新。由於用戶端並未使用 Log4j,因此客戶不需更新用戶端,也不需為了保護 Slack 服務進行任何變更以獲得部署的修補程式和緩解措施。
如需更多詳細資料
為應對這些漏洞,我們檢查了生產、開發和企業作業環境的伺服器、我們的程式碼儲存庫,並執行生產程序以找出所有可能使用 Log4j 的情況。我們利用此資料整理出所有潛在易受攻擊的服務清單,並已開始套用修補程式或解決方法,以緩解問題可能造成的影響。目前,我們已為符合 CVE-2021-44228 和 CVE-2021-45046 建議的 Slack 服務採取緩解措施。如獲得新資訊,我們會繼續評估這些漏洞可能造成的影響。
儘管 Slack 服務和 API 使用 Log4j 處理資料,Slack 的行動和桌面用戶端並未使用 Log4j,因此不受這些漏洞影響。
我們無法評估這些漏洞對應用程式目錄中服務供應商的影響。這些服務供應商不一定使用 Log4j。請前往 Slack 應用程式目錄,使用應用程式清單上的「取得支援」連結,直接聯絡服務供應商以獲得更多資訊。
如果你建立了自己的整合以便與 Slack 中的資料互動 (即「自訂整合」),建議你檢視這些整合是否使用 Log4j,以確保:
- Slack 有責任保護你透過這些自訂整合寫入 Slack 的資料,且 Slack 已根據上方提供的資訊更新伺服器,以緩解 Log4j 漏洞造成的影響。
- 若你在 Slack 工作空間的所有資料都來自可靠的來源,你從 Slack 讀取並傳遞至你基礎架構的資料會承受較低風險。
- 不過,如果有任何你無法完全信任的來源在 Slack 工作空間張貼資料,請立即確保支援透過 Log4j 記錄的任何託管基礎架構已完全修復並更新。
我還要知道什麼?
我們提供幾個可靠資訊來源,說明有關 Log4j 資源庫及其問題的背景資訊。如需更多情境資訊,我們推薦:
如有技術問題,請聯絡 Slack 支援團隊的成員。他們將很樂意建立案例。