此安全公告为客户提供关于 Zendesk 服务受 Apache Log4j 漏洞 (CVE-2021-44228) 相关影响的更新。有些媒体将此漏洞称为 Log4Shell。

2021 年 12 月 23 日的状态更新：Zendesk 已缓解了我们产品环境中关于此漏洞的已知实例。

此漏洞是什么？

在最受欢迎的 JavaScript 日志库 Log4j 中，我们发现了一个远程代码执行 (RCE) 漏洞。此安全漏洞存在于整个行业，允许未经身份验证的攻击者通过提供特定的制作内容，在已部署此库的系统上执行代码。此漏洞危害性极大，会影响许多软件产品和在线服务。

此漏洞对 Zendesk 有什么影响？

Zendesk 在其产品中使用 Apache Log4j。此漏洞于 2021 年 12 月 9 日星期四被披露。 我们已缓解此漏洞的已知实例，并继续主动监测此问题。

作为回应，我们激活了事件响应流程，并立即调查了 Log4j 在各个 Zendesk 产品中的使用。结果：

• 我们已识别并分类了所有产品中的 Log4j 部署，并实施了供应商提供的更新或推荐的系统缓解措施。
• 我们已与子处理方和关键供应商展开合作，并且在新信息出现时，继续保持密切合作，确保他们能够修复我们可能依赖的其环境中的任何漏洞。

我们还通过部署规则来阻止恶意利用，成功缓解了此漏洞。然而，我们注意到这些规则并非 100% 有效，它们只是缓解的次要级别。

至此，我们对在产品中使用 Log4j 的调查已完成。我们的安全团队将继续跟踪涉及 Log4j 的安全问题，这是我们定期安全监测和补丁管理实施中的一项重要内容。

 

Zendesk 是否调查了 CVE-2021-45046 和 CVE-2021-45105？

为了响应此漏洞，我们还调查了 Log4j 中的 CVE-2021-45046 和 CVE-2021-45105。我们进行了风险评估，并针对重大风险项采取了措施。需要注意的是，CVE-2021-45105 仅是拒绝服务型漏洞，不会影响大多数配置。

我应进行什么操作？

• Zendesk 服务的用户目前无需进行任何操作。
• 使用在专业服务协议下开发的自定义产品的用户通常需负责自己的安全更新，但应适当地审查它们的协议，并验证对 Log4j 组件的使用。

我们还强烈建议客户在可能已开发或已部署的任何自定义应用或整合中，评估其对 Apache Log4j 日志库以及我们产品的使用情况。 

如果确定使用了易受攻击的版本，我们强烈建议升级到 Apache 软件基金会提供的固定版本，或实施供应商推荐的解决方案。

 

我可以在哪里找到更多信息？

关于此漏洞的更多信息详见此处：

• Apache 软件基金会：Apache Log4j 安全漏洞
• 美国国家漏洞数据库：CVE-2021-44228