關(guān)于防范 近期出現(xiàn)的高危網(wǎng)絡(luò)安全漏洞 (Apache Log4j任意代碼執(zhí)行漏洞) 的函
來源:湖北國菱計(jì)算機(jī)科技有限公司-湖北國聯(lián)計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司
時(shí)間:2021-12-10
致尊敬的客戶單位:
湖北國菱計(jì)算機(jī)科技有限公司團(tuán)隊(duì)于2021年12月10日上午監(jiān)測到“ApacheLog4j任意代碼執(zhí)行漏洞”,迅速組織應(yīng)急響應(yīng)工作專班進(jìn)行漏洞風(fēng)險(xiǎn)評估和排查工作。目前,該漏洞已由阿里安全中心、深信服、天融信、奇安信等多家國內(nèi)權(quán)威網(wǎng)絡(luò)安全機(jī)構(gòu)核實(shí),Apache Log4j項(xiàng)目組已在官方網(wǎng)站確認(rèn)該漏洞。
漏洞描述
Apache Log4j
Apache Log4j 是 Apache 的一個(gè)開源項(xiàng)目,Apache log4j2 是 Log4j 的升級版本,我們可以控制日志信息輸送的目的地為控制臺、文件、GUI 組件等,通過定義每一條日志信息的級別,能夠更加細(xì)致地控制日志的生成過程。
漏洞原理簡述
經(jīng)過分析,該組件存在 Java JNDI 注入漏洞,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志,即可觸發(fā)此漏洞,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。
影響范圍
由于Apache Log4j是Java開發(fā)領(lǐng)域應(yīng)用非常之廣泛的一個(gè)組件,目前已確認(rèn)可能的受影響應(yīng)用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等,幾乎涵蓋了所有主流應(yīng)用軟件。
由于該漏洞原理簡單,極其容易被利用,且影響面廣泛,我們有理由相信在未來一段時(shí)間內(nèi)會(huì)爆發(fā)眾多利用該漏洞進(jìn)行危害網(wǎng)絡(luò)安全的事件,請務(wù)必引起重視!
風(fēng)險(xiǎn)防范建議
我公司應(yīng)急響應(yīng)專班已第一時(shí)間確認(rèn),我公司研發(fā)的所有產(chǎn)品未使用Apache Log4j,不在上述漏洞的影響范圍內(nèi)。
貴單位使用的其他由我公司維護(hù)的受影響產(chǎn)品,我公司已第一時(shí)間會(huì)同軟件開發(fā)商、云計(jì)算中心,一方面通過可靠的緩解措施避免該漏洞被利用,另一方面已積極組織技術(shù)團(tuán)隊(duì)與軟件開發(fā)商共同開發(fā)針對該漏洞風(fēng)險(xiǎn)的更新補(bǔ)丁,我公司應(yīng)急響應(yīng)專班會(huì)持續(xù)關(guān)注漏洞影響范圍發(fā)展,及時(shí)封堵相關(guān)漏洞風(fēng)險(xiǎn)。
由于貴單位可能存在其他不在我公司開發(fā)或維護(hù)范圍內(nèi)的軟件產(chǎn)品,我們建議如下:
1. 安排負(fù)責(zé)工作人員積極聯(lián)系軟件開發(fā)商確認(rèn)是否存在該漏洞風(fēng)險(xiǎn);
2. 對于確認(rèn)存在該漏洞風(fēng)險(xiǎn)軟件產(chǎn)品,積極敦促軟件開發(fā)商提供更新補(bǔ)丁,盡快封堵該安全漏洞;
3. 如無法及時(shí)聯(lián)系到原軟件開發(fā)商,或原軟件開發(fā)商無法及時(shí)給出更新補(bǔ)丁和解決方案,請安排負(fù)責(zé)工作人員及時(shí)與我公司聯(lián)系,我們將積極配合處理該漏洞相關(guān)事宜,以切實(shí)避免網(wǎng)絡(luò)安全事件的發(fā)生。
湖北國菱計(jì)算機(jī)科技有限公司
2021年12月10日