Log4j 漏洞对 GFI 的影响

一个新的 0-day 漏洞，正式名称为CVE-2021-44228，于 12 月 10 日星期五在 NIST 国家漏洞数据库上发布。它位于 Log4j Java 库中。 

Log4j 是一个流行的开源日志库，由 Apache 软件基金会制作。Log4j 中发现的安全漏洞允许黑客在目标系统上执行远程命令。该漏洞的严重性被 NIST归类为“严重”。

GFI 产品如何受到影响？

GFI 开发团队正在审查我们的产品以使用 Log4j。

Kerio Connect 的一项功能利用了 Log4j，推荐的缓解措施如下所示。

如果我们发现任何其他建议的缓解措施，我们将提供后续沟通。其他信息（如果可用）也将发布在此页面上。

Kerio Connect 漏洞缓解措施

Log4j 在 Kerio Connect 中用作聊天功能的一部分。我们建议所有 Kerio Connect 用户暂时禁用软件中的聊天功能。

要在 Kerio Connect 中禁用聊天：

1. 转到配置。
2. 单击域。
3. 双击所需的域。
4. 在“常规”选项卡上找到“聊天”部分。
5. 取消选择“在 Kerio Connect 客户端中启用聊天”。选项。
6. 对所有电子邮件域重复上述步骤。

Kerio Connect 安全修补程序

Kerio Connect 的安全修补程序的工作已经开始。我们打算在接下来的几天内发布一个公开版本。

当发布可用时，我们将通过您注册的电子邮件向所有 Kerio Connect 客户发送后续通知。

2021 年 12 月 21 日更新。

我们很高兴地宣布 Kerio Connect 9.3.1p2 可用。此安全版本解决了与 Log4j 相关的漏洞，正式名称为CVE-2021-44228。

发行说明：

• Apache log4j2 库升级到 2.16.0 版本（修复 CVE-2021-44228 漏洞）

新版本可以从GFI 升级中心下载。

我们建议所有 Kerio Connect 客户尽快安装 9.3.1p2 版本。

一旦部署了 Kerio Connect 9.3.1p2，就可以安全地重新启用聊天功能。