• Udemy 对 Spring Framework 漏洞的响应

    最近,安全研究人员发现了个与 Spring Framework 相关的远程代码执行 (RCE) 漏洞(CVE-2022-22965、CVE-2022-22963、CVE-2022-22947)。 此外,Spring 还存在第四个具有中等危急程度的 DoS 漏洞 CVE-2022-22950。

    自首次发现这些问题以来,Udemy 的安全团队一直在努力审查和保护 Udemy 的系统。目前,没有迹象表明这些漏洞对任何公司或个人数据产生了负面影响

    对于此类高风险、高影响的漏洞,我们的团队会立即采取一系列步骤,包括测试以确认漏洞级别、限制网络连接以及在必要时应用软件或系统更新或暂行解决办法。我们的安全和工程团队将监控我们的环境、关键次级处理者和供应商,以查明是否存在这些漏洞的实例、未遂攻击以及来自我们签约第三方的通知。

    当我们获得更多信息时,我们将通过此页面提供更新。我们的安全团队正努力确保我们的系统随着安全研究人员建议的演化而受到保护,因此我们目前无法提供自定义响应。有关我们的响应方法的详细信息,请参阅下面的常见问题解答。 

    您是否已更新到更安全的 Spring Framework 版本?

    在以前使用易受攻击的 Spring Framework 版本或相关产品的每种情况下,我们都进行了仔细的修复工作,例如升级到推荐的较新版本或实施推荐的暂行解决办法。我们还调整了我们的分层防御措施,以在全球范围内保护我们的系统。

    什么时候可以完成修复?

    随着 Spring Framework 漏洞攻击模式的发展,Udemy 的安全团队正在监控安全专家和供应商的建议,随着这些建议的共享,我们的修复和缓解工作将继续进行。 

    客户数据是否已泄露?

    目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。 

    您是否向您的环境中使用的第三方供应商询问 Spring Framework 对他们的影响?

    Udemy 已与主要的 Udemy Business 分包商取得联系,我们会在供应商发布更新时将更新应用于工具。

    阅读文章
  • 将 Udemy Business 功能列入允许列表

    如果您的用户通过您公司的网络访问他们的 Udemy Business 帐户,则您组织的 IT 可能需要将多个域和子域列入允许列表,以确保某些功能正常运行。 

    本文概述了某些 Udemy Business 功能可能需要将哪些域和子域列入允许列表。

    将内容列入允许列表(视频流)

     如果您的用户在通过您公司的网络流式传输视频和观看内容时遇到性能大幅下降(即播放延迟),则 Udemy Business 使用的视频流域应该被列入允许列表。

    为确保您的用户能够顺畅地观看 Udemy Business 内容,请让贵组织的 IT 人员将以下视频流域加入您的网络防火墙/网关的允许列表:*.udemycdn.com

    仍然遇到流媒体问题? 如果在您组织的 IT 将此域列入允许列表后问题仍然存在,请建议依然遇到问题的用户联系 Udemy Business 支持团队,让他们为我们的团队提供 HAR 文件。HAR 文件内的信息将帮助我们的工程师判定问题所在,以便他们能够开始制定解决方案。

    将电子邮件地址列入允许列表

    如果您公司的防火墙通常具有限制性(某些常用站点被阻止),则您需要将 Udemy for Business 的以下电子邮件发送域及其所有子域列入允许列表,以确保顺利收到邀请、密码重置和其他重要电子邮件。

    • a) *.udemy.com 
    • b) *.udemymail.com

    重要提示:请务必与您的电子邮件服务提供商核实,将给定域内的所有子域列入允许列表的正确方法,因为相关方法可能因提供商而异。如果子域没有正确加入白名单,那么从这些域发送的来自 Udemy Business 的电子邮件可能会被拦截。

    将报告下载加入允许列表

    如果您公司的防火墙通常具有限制性(某些常用站点被阻止),您需要将以下站点加入允许列表,以确保可以成功下载报告。

    • *amazon.com

    将实验和工作区列入允许列表(Udemy Business Pro 用户)

    从公司网络内部访问 Udemy Business 的 Udemy Business Pro 用户需要其组织的 IT 将以下域列入允许列表,以确保工作区实验正常工作。

    • *.udemy.com
    • *.udemycdn.com
    • *.udemylabs.com
    • *.vocareum.com
    • *.amazon.com

    Azure 的允许列表条目

    可以在此 Microsoft 资源中查看 Microsoft 为 Azure 推荐的允许列表条目。

    阅读文章
  • Udemy 对 Log4J 漏洞的响应

    最近,安全研究人员发现了一个远程代码执行 (RCE) 漏洞 (CVE-2021-44228),该漏洞影响 Apache 的 Log4J 工具,这是一种各种软件提供商使用的基于 Java 的日志记录实用程序。

    自首次发现此问题以来,Udemy 的安全团队一直在努力审查和保护 Udemy 的系统。目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。我们将继续调查此漏洞对我们的基础架构和应用程序的影响。 

    对于此类高风险、高影响的漏洞,我们的团队会立即采取一系列步骤,包括测试以确认漏洞级别、限制网络连接以及在必要时应用软件或系统更新或暂行解决办法。我们的安全和工程团队将监控我们的环境、关键子处理器和供应商,以查明是否存在此漏洞的实例、未遂攻击以及来自我们签约第三方的通知。

    当我们获得更多信息时,我们将通过此页面提供更新。我们的安全团队正努力确保我们的系统随着安全研究人员建议的演化而受到保护,因此我们目前无法提供自定义响应。有关我们的响应方法的详细信息,请参阅下面的常见问题解答。 

    您是否已更新到更安全的 Log4J (2.0-2.14.1) 版本?

    在以前使用过易受攻击的 Log4J 版本的每种情况下,我们都进行了仔细的修复工作,例如升级到推荐的较新版本或实施推荐的暂行解决办法。我们还调整了我们的分层防御(例如,添加对入站和出站网络连接的额外限制),以在全球范围内保护我们的系统。

    什么时候可以完成修复?

    随着 Log4J 漏洞攻击模式的发展,Udemy 的安全团队正在监控安全专家和供应商的建议,随着这些建议的共享,我们的修复和缓解工作将继续进行。 

    客户数据是否已泄露?

    目前,没有迹象表明此漏洞对任何公司或个人数据产生了负面影响。 

    您是否向您的环境中使用的第三方供应商询问 Log4J 对他们的影响?

    Udemy 已与供应商联系,并在我们的供应商发布工具时对工具进行了更新。我们还监控来自安全专家的汇总列表,以确保我们逐个工具响应其他推荐的安全缓解措施。

    阅读文章
  • 登录问题

    如果您的用户受邀加入您的 Udemy Business 帐户,但却无法登录,先让他们重置密码。如果不起作用,让受影响的用户提交一份支持工单,我们的支持团队成员将在 24 小时内予以回应。

    如果您为 Udemy Business 设置了单点登录 (SSO) ,请联系贵组织的 IT 部门,以确保您的 SSO 提供商允许用户访问 Udemy Business。

    如果您公司的防火墙设为一般限制性(会拦截一些常用的网站),您需要将来自 Udemy 的电子邮件加入白名单,以确保密码重置功能正常运作。了解更多有关将 Udemy Business 电子邮件发送域和子域加入白名单的信息。

    阅读文章