按产品划分的当前状态

最后更新时间:美国东部时间2022年12月2日下午1:30

标题:MI-20221129-2 -缓解:边缘连接问题/退化

此时您可能遇到与Edge源的连接问题。我们已经确定了问题,并为您提供了可用的解决方案。请联系Collibra支持新万博移动客户端打开箱子我们的支持团队将与您一起解决这个问题。

受影响地区:全部
受影响的部署:选定最近迁移的部署
CSP:所有
现象:边缘能力降级或不可用。
事件发生时间:2022年11月23日
事件结束时间:美国东部时间2022年11月29日中午12:00

建议:

  • 新万博移动客户端Collibra提供了一个解决此问题的变通方案
  • 点击这个链接获取有关部署修复程序的进一步说明
  • 如果需要进一步帮助,请打开带有Edge安装详细信息的支持单

目前对整个平台(CDIC/DGC)没有影响。

最后更新时间:美国东部时间2022年11月28日下午3点

Apache Shiro身份验证绕过漏洞(cve - 2022 - 40664

Apache最近发布了一份安全公告,披露了一个身份验证绕过漏洞(cve - 2022 - 40664)在1.10.0之前的Apache Shiro版本中。

Apache Shiro允许远程攻击者在通过RequestDispatcher转发或包含时绕过安全限制。远程攻击者可以发送特制的HTTP请求来绕过身份验证过程并获得对应用程序的未授权访问。

新万博移动客户端Collibra在源代码中不使用转发或通过RequestDispatcher包含,因此不容易受到这个问题的影响。

虽然Colli新万博移动客户端bra没有在其产品中使用易受攻击的功能,但无论如何,Collibra都计划在2023年第一季度的Collibra版本中将Apache Shiro升级到不受攻击的版本。

最后更新时间:美国东部时间2022年6月10日下午3:30

在US-EAST-1区域内AWS服务退化

AWS通知Collibra新万博移动客户端,在6/9/22下午18:01PM PDT到21:25PM PDT之间有一段服务降级期,仅影响US-EAST-1地区的AWS服务api。新万博移动客户端在此期间,Collibra云运营部门在该区域的Collibra环境中没有检测到服务退化。但是,如果您认为您的环境受到了影响,请打开有关此事件的支持单,以便进一步跟进。

以下是CloudOps收到的AWS通信,这是公开的:PDT时间6月9日下午6:01,我们在US-EAST-1区域内经历了AWS服务的高错误率和延迟。该问题影响AWS服务api,但对EC2实例、EBS卷或弹性负载均衡器等数据平面服务没有影响。我们在PDT晚上7:55开始看到恢复,在PDT晚上9:25完全恢复。问题已经解决,业务可以正常运行。

最后更新时间:美国东部时间2022年4月8日下午5点

Spring4Shell漏洞

新万博移动客户端Collibra致力于确保透明度和信任。为此,我们积极监测并应对可能影响我们产品和服务的威胁。

新万博移动客户端Collibra意识到涉及Spring4Shell的漏洞,由cve - 2022 - 22965而且cve - 2022 - 22963.CVE-2022-22965涉及影响在Java 9及更高版本上运行的Spring WebMVC和Spring WebFlux应用程序的漏洞,并将应用程序暴露于远程代码执行(RCE)的可能性。CVE-2022-22963影响了Spring表达式语言(SpEL),并可能使应用程序暴露在远程代码执行(RCE)的可能性中。

我们正在持续监测和评估这些漏洞。

对天秤的影响总结新万博移动客户端

根据对Collibra产品的初步审核,影响评估如下:新万博移动客户端

新万博移动客户端Collibra专有软件

产品-仅限GA 受CVE-2022-22965影响 受CVE-2022-22963影响
新万博移动客户端Collibra数据智能云(DGC) 没有 没有
及内部 没有 没有
新万博移动客户端Collibra数据治理 没有 没有
新万博移动客户端数据隐私 没有 没有
新万博移动客户端Collibra数据目录 没有 没有
新万博移动客户端Collibra数据谱系 没有 没有
新万博移动客户端Collibra数据质量,现场 没有 没有
新万博移动客户端Collibra数据质量,云 没有 没有
新万博移动客户端Collibra见解 没有 没有
新万博移动客户端Collibra边缘 没有¹ 没有
新万博移动客户端Collibra Job Server, On-Premise 没有 没有
新万博移动客户端Collibra作业服务器,云 没有 没有
¹新万博移动客户端Collibra Edge使用Spring Framework的脆弱版本。新万博移动客户端Collibra Edge不会暴露易受攻击的服务,因此没有风险。出于谨慎考虑,Collibra将在即将到来的4月份发布一个新万博移动客户端补丁来更新Spring框架。

第三方软件

新万博移动客户端Collibra已经对我们产品中嵌入的关键第三方软件进行了初步审查,并没有发现Spring4Shell漏洞的影响。

下一个步骤

这一事件的更新将张贴,如果有一个变化的状态。

最后更新时间:美国东部时间2022年1月19日下午5点

Apache Log4j的漏洞

新万博移动客户端Collibra意识到了漏洞Apache Log4j,一个Java日志库。随着C新万博移动客户端ollibra Security继续监控我们的软件和系统,以了解此漏洞的任何影响,以下状态可能会发生变化。请继续关注本页的最新更新。

Mitre指定的Apache Log4j漏洞:

CVE ID 发现日期
cve - 2021 - 44228 2021年12月10日
cve - 2021 - 45046 2021年12月14日
cve - 2021 - 45105 2021年12月18日

CVE-2021-44228对天枰座影响的总新万博移动客户端结

在对Collibra产品进行全面审查后,Collibra发现Co新万博移动客户端llibra数据质量受到了影响,并于2021年12月11日发布了修复该漏洞的补丁。通过我们的进一步评估,我们确定Collibra数据智能云(以前的DGC)中的所有Collibra专有软件代码都没有利用L新万博移动客户端og4j的脆弱版本(版本2.0到2.14.1)。

我们正在继续评估与CVE-2021-44228相关的第三方软件和库,并正在完成必要的更新。在此期间,我们正在积极开发和提供缓解措施,以保护我们的客户。

CVE-2021-45046对天枰座影响的总新万博移动客户端结

新万博移动客户端Collibra已经意识到Apache Log4j 2.15.0相关的漏洞。请参阅以下Collibra产品和第三方软件受影响的状况以及提供新万博移动客户端的解决方案。manbetx1.0下载

CVE-2021-45105对天枰座影响的总新万博移动客户端结

新万博移动客户端Collibra已经评估了其第三方软件Elasticsearch针对Log4j 2.16.0版本新发现的漏洞的影响,cve - 2021 - 45105.请参阅下面受影响的第三方软件的状态和提供的解决方案。manbetx1.0下载

推荐:目前对客户的指导是使用下面的Elasticsearch指导继续为其适用的DGC本地版本实施可用的补丁。该补丁修复了已识别的漏洞CVE-2021-44228、CVE-2021-45046和CVE-2021-45105的风险。您的漏洞扫描器可能会产生假阳性结果,表明您的系统由于包含Log4j 2.17以下版本而容易受到攻击;然而,Collibra推荐的补丁将保护当前描述的cve。新万博移动客户端

我们正在继续评估与Log4j相关的第三方软件和库,并将在需要时更新这里的信息。

下表包含了我们最新的产品指南。

新万博移动客户端Collibra专有软件

产品-仅限GA 受CVE-2021-44228影响 受CVE-2021-45046影响 受CVE-2021-45105影响
新万博移动客户端Collibra数据智能云 没有 没有 没有
及本地 没有 没有 没有
新万博移动客户端Collibra数据治理 没有 没有 没有
新万博移动客户端数据隐私 没有 没有 没有
新万博移动客户端Collibra数据目录 没有 没有 没有
新万博移动客户端Collibra数据谱系 没有 没有 没有
新万博移动客户端Collibra数据质量,现场 是的,修复完毕(参见 是的,修复完毕(参见 是的,修复完毕(参见
新万博移动客户端Collibra数据质量,云 是的,修复完成(不需要任何操作) 是的,修复完成(不需要任何操作) 是的,修复完成(不需要任何操作)
新万博移动客户端Collibra见解 没有 没有 没有
新万博移动客户端Collibra边缘 没有¹ 没有¹ 没有¹
新万博移动客户端Collibra Job Server, On-Premises 没有² 没有² 没有²
新万博移动客户端Collibra作业服务器,云 没有² 没有² 没有²

第三方软件

新万博移动客户端Collibra目前正在评估我们产品中嵌入的第三方软件,随着了解更多情况,我们将提供进一步的更新。

我们确定以下第三方软件受到影响:

第三方软件 新万博移动客户端Collibra产品受影响 修复状态
Elasticsearch,本地 及本地,
5.7.10之前的任何版本
完成:
手动打补丁流程
Elasticsearch 6.8.14到7.12.2
参见Linux操作系统说明
参见Windows说明
及本地
5.7.11-1
完成:
标准贴片工艺
Elasticsearch 7.16.1 (发布说明
注:请按照标准安装流程进行安装
及本地
5.7.10-2
完成:
标准贴片工艺
Elasticsearch 7.16.1 (发布说明
注:请按照标准安装流程进行安装
及本地
5.7.11-2
完成:
标准贴片工艺
Elasticsearch 7.16.2(包含log4j 2.17.0) (发布说明
注:请按照标准安装流程进行安装
及本地
5.7.10-3
完成:
标准贴片工艺
Elasticsearch 7.16.2(包含log4j 2.17.0) (发布说明
注:请按照标准安装流程进行安装
Elasticsearch,云 新万博移动客户端Collibra数据智能云
2021.11至2021.04
完成于2021年12月13日:
修复Elasticsearch版本
6.8.14 ~ 7.12.1
新万博移动客户端Collibra数据智能云
2021.09.3
于2021年12月22日和23日完成:
标准云部署
Elasticsearch 7.16.1 (发布说明
新万博移动客户端Collibra数据智能云
2021.09.4
于2022年1月16日竣工:
标准云部署
Elasticsearch 7.16.2(包含log4j 2.17.0) (发布说明
新万博移动客户端Collibra数据智能云
2021.10.2
完成于2021年12月19日:
标准云部署
Elasticsearch 7.16.1 (发布说明
新万博移动客户端Collibra数据智能云
2021.10.3
于2022年1月16日竣工:
标准云部署
Elasticsearch 7.16.2(包含log4j 2.17.0) (发布说明
新万博移动客户端Collibra数据智能云
2021.11.2
完成于2021年12月19日:
标准云部署
Elasticsearch 7.16.1 (发布说明
新万博移动客户端Collibra数据智能云
2021.11.3
于2022年1月9日竣工:
标准云部署
Elasticsearch 7.16.2(包含log4j 2.17.0) (发布说明
Mulesoft 新万博移动客户端Collibra连接 完成:
由Mulesoft提供的说明

新万博移动客户端Collibra市场资产:

请浏览新万博移动客户端Collibra市场查看与任何潜在Log4j漏洞相关的更新、修复和新版本。

新万博移动客户端Collibra Beta产品

请咨询您的客户成功经理或与您一起进行beta测试的Collibra联系人。新万博移动客户端

下一个步骤:

新万博移动客户端Collibra Security强烈建议客户在自己的环境中遵循最佳实践,以帮助缓解和解决方案来保护他们的应用程序。

客户还应检查他们正在运行的任何其他(非collibra)软件是否可能受到影响,并与适用的供应商联系以获新万博移动客户端得可用的补丁。

新万博移动客户端Collibra Security将继续在本网页提供必要的更新。

有关此事件的进一步更新将在需要时发布。

¹新万博移动客户端Collibra Edge包含log4j-*.jar库。但是,由于不包括log4j-core,该漏洞被中和。请注意,漏洞扫描工具可能因此报告误报。
²新万博移动客户端Collibra Jobserver包含一个不受CVE-2021-44228或CVE-2021-45046影响的Log4j库。Jobserver没有使用与CVE-2020-9488和CVE-2019-17571相关的功能,因此不容易受到攻击。请注意,漏洞扫描工具可能因此报告误报。新万博移动客户端Collibra正在努力在未来弃用这个库。

事件日期

UTC

严重程度

总结

决议的日期

UTC

2022年11月11日02:09 MI-20221111: 新万博移动客户端Collibra工程发现并解决了一个问题,即2022.11的非生产实例间歇性无法访问 2022年11月11日10:00
2022年10月16日23:00 MI-20221016: 新万博移动客户端Collibra工程发现并解决了一个问题,一些非刺激云实例变得不可访问。 2022年10月17日02:00
  • 停机
  • 中断

状态仪表板暂时不可用。请稍后再试。

产品

美洲

北部、中部和南部

EMEA

欧洲,中东和非洲

亚太地区

亚太地区

政府云计算市场

我们东

数据治理
数据目录
数据分类
数据沿袭
元数据连接器
的见解
数据隐私
  • 可用
  • 停机
  • 中断
  • N/A

*注:上述状态表示所列区域中大多数环境的可用性,不包括每月计划的停机时间。