修补程序严重安全漏洞(CVE-2021-44832、-45105、-45046 和 -44228)
说明
下述安全漏洞会影响所有版本的 Analytics,包括版本 15.1.0。Analytics 16.0 版不再包含存在漏洞的组件,因此,该漏洞不复存在。
Analytics 中的分析应用程序窗口使用 Apache Log4j。因此,尽管 Analytics 的实际受感染性较低,但它受到下面列出的 Log4j 严重安全漏洞的影响:
由于以前的修补程序被发现不完整,此漏洞列表进行了扩展。我们有一个可立即缓解 Analytics 中的所有上述漏洞的修补程序。
您的选项
尽管 Analytics 用户的风险较低,但我们仍然建议使用下列选项之一解决漏洞情况:
-
升级至 Analytics 18.0 有关更多信息,请参阅ACL for Windows 安装和激活指南。
-
手动修补 Analytics 的现有版本下面继续提供更多信息和说明。
该修补程序是什么?
此修补程序是由 Log4j 的提供商 Apache 发布的官方版本。它可以立即缓解 Analytics 中的 CVE-2021-44832、CVE-2021-45105、CVE-2021-45046、CVE-2021-44228。
哪些版本的 Analytics 易受攻击?
虽然风险较低,但 Analytics 15.1.0 及以下的所有版本都会受到影响。无论您安装了哪个版本,我们都建议您要么升级至最新版 Analytics 18.0,要么立即手动修补现有版本的 Analytics。
说明
版本 15.1.0 之前的 Analytics 版本受到本手动修补程序修复的其他漏洞和缺陷的影响。如果您使用的是版本 15.1.0 之前的 Analytics 版本,建议您升级至 Analytics 18.0,此最新版本解决了之前识别的所有漏洞和缺陷。有关之前修复程序的详细信息,请参阅发行说明。
如何安装该修补程序
说明
如果 ACL for Windows 被安装在 Program Files 文件夹中,您必须在计算机上具有管理员权限才能安装该修补程序。如果您自己无法安装该修补程序,请与系统管理员联系以获得帮助。
该修补程序需要被安装在每一台具有 Analytics 的计算机上。您可以通过批处理脚本或手动安装它。
如果您并排安装了多个版本的 Analytics,则需要分别修补所有已安装的版本。
批处理脚本方法
仅当 Analytics 被安装在它的默认位置(C:\Program Files (x86)\ACL Software\ACL for Windows <<版本>>)时,才应该使用此方法。如果 Analytics 被安装在其他位置,请使用下述手动方法Analytics。
- 如果 Analytics 和 ACL for Windows 已打开,请将其关闭。
- 将此压缩文件夹下载到您的计算机上。
- 将该文件夹解压缩到一个简单的位置,如 C:/temp/patch。
- 在管理员模式下打开一个 Windows 命令提示窗口。
- 切换到刚才创建的文件夹。例如,如果您解压缩到 C:/temp/patch,则请键入:
cd c:\temp\patch
- 从您解压缩的文件夹中运行批处理脚本。
.\do_replace.bat
手动方法
- 如果 Analytics 和 ACL for Windows 已打开,请将其关闭。
- 将此压缩文件夹下载到您的计算机上。
- 解压缩该文件夹。
- 转到安装了 ACL for Windows 的文件夹。例如,C:\Program Files (x86)\ACL Software\ACL for Windows 15。
- 打开 ACL App 文件夹。
- 将 acl-service.ini 替换为您刚刚下载的该文件的新版本。
- 打开 lib 文件夹。
- 用您刚刚下载的新版本文件替换下面列出的四个 *.jar 文件。新版本的文件名中包含 2.17.1。
- log4j-1.2-api-2.8.2.jar
- log4j-api-2.8.2.jar
- log4j-core-2.8.2.jar
- log4j-slf4j-impl-2.8.2.jar
您还可能需要修补 Analytics Exchange
如果您的组织使用 Analytics Exchange,则系统管理员也应该对其进行修补或升级。请参阅 Analytics Exchange 修补说明。
