最近,安全研究人员发现了一个远程代码执行 (RCE) 漏洞 (CVE-2021-44228),该漏洞影响 Apache 的 Log4J 工具,这是一种各种软件提供商使用的基于 Java 的日志记录实用程序。
自首次发现此问题以来,Udemy 的安全团队一直在努力审查和保护 Udemy 的系统。目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。我们将继续调查此漏洞对我们的基础架构和应用程序的影响。
对于此类高风险、高影响的漏洞,我们的团队会立即采取一系列步骤,包括测试以确认漏洞级别、限制网络连接以及在必要时应用软件或系统更新或暂行解决办法。我们的安全和工程团队将监控我们的环境、关键子处理器和供应商,以查明是否存在此漏洞的实例、未遂攻击以及来自我们签约第三方的通知。
当我们获得更多信息时,我们将通过此页面提供更新。我们的安全团队正努力确保我们的系统随着安全研究人员建议的演化而受到保护,因此我们目前无法提供自定义响应。有关我们的响应方法的详细信息,请参阅下面的常见问题解答。
您是否已更新到更安全的 Log4J (2.0-2.14.1) 版本?
在以前使用过易受攻击的 Log4J 版本的每种情况下,我们都进行了仔细的修复工作,例如升级到推荐的较新版本或实施推荐的暂行解决办法。我们还调整了我们的分层防御(例如,添加对入站和出站网络连接的额外限制),以在全球范围内保护我们的系统。
什么时候可以完成修复?
随着 Log4J 漏洞攻击模式的发展,Udemy 的安全团队正在监控安全专家和供应商的建议,随着这些建议的共享,我们的修复和缓解工作将继续进行。
客户数据是否已泄露?
目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。
您是否向您的环境中使用的第三方供应商询问 Log4J 对他们的影响?
Udemy 已与供应商联系,并在我们的供应商发布工具时对工具进行了更新。我们还监控来自安全专家的汇总列表,以确保我们逐个工具响应其他推荐的安全缓解措施。