展開
湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司
  • 首頁(yè)HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運(yùn)行維護(hù)SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • GuoLing Events |國(guó)菱動(dòng)態(tài)

    關(guān)于防范 近期出現(xiàn)的高危網(wǎng)絡(luò)安全漏洞 (Apache Log4j任意代碼執(zhí)行漏洞) 的函
    來(lái)源:湖北國(guó)菱計(jì)算機(jī)科技有限公司-湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司 時(shí)間:2021-12-10

    致尊敬的客戶單位:

    湖北國(guó)菱計(jì)算機(jī)科技有限公司團(tuán)隊(duì)于2021年12月10日上午監(jiān)測(cè)到“ApacheLog4j任意代碼執(zhí)行漏洞”,迅速組織應(yīng)急響應(yīng)工作專班進(jìn)行漏洞風(fēng)險(xiǎn)評(píng)估和排查工作。目前,該漏洞已由阿里安全中心、深信服、天融信、奇安信等多家國(guó)內(nèi)權(quán)威網(wǎng)絡(luò)安全機(jī)構(gòu)核實(shí),Apache Log4j項(xiàng)目組已在官方網(wǎng)站確認(rèn)該漏洞。

    漏洞描述

    Apache Log4j

    Apache Log4j 是 Apache 的一個(gè)開源項(xiàng)目,Apache log4j2 是 Log4j 的升級(jí)版本,我們可以控制日志信息輸送的目的地為控制臺(tái)、文件、GUI 組件等,通過(guò)定義每一條日志信息的級(jí)別,能夠更加細(xì)致地控制日志的生成過(guò)程。

    漏洞原理簡(jiǎn)述

    經(jīng)過(guò)分析,該組件存在 Java JNDI 注入漏洞,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志,即可觸發(fā)此漏洞,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

    影響范圍

    由于Apache Log4j是Java開發(fā)領(lǐng)域應(yīng)用非常之廣泛的一個(gè)組件,目前已確認(rèn)可能的受影響應(yīng)用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等,幾乎涵蓋了所有主流應(yīng)用軟件。

    由于該漏洞原理簡(jiǎn)單,極其容易被利用,且影響面廣泛,我們有理由相信在未來(lái)一段時(shí)間內(nèi)會(huì)爆發(fā)眾多利用該漏洞進(jìn)行危害網(wǎng)絡(luò)安全的事件,請(qǐng)務(wù)必引起重視!

    風(fēng)險(xiǎn)防范建議

    我公司應(yīng)急響應(yīng)專班已第一時(shí)間確認(rèn),我公司研發(fā)的所有產(chǎn)品未使用Apache Log4j,不在上述漏洞的影響范圍內(nèi)。

    貴單位使用的其他由我公司維護(hù)的受影響產(chǎn)品,我公司已第一時(shí)間會(huì)同軟件開發(fā)商、云計(jì)算中心,一方面通過(guò)可靠的緩解措施避免該漏洞被利用,另一方面已積極組織技術(shù)團(tuán)隊(duì)與軟件開發(fā)商共同開發(fā)針對(duì)該漏洞風(fēng)險(xiǎn)的更新補(bǔ)丁,我公司應(yīng)急響應(yīng)專班會(huì)持續(xù)關(guān)注漏洞影響范圍發(fā)展,及時(shí)封堵相關(guān)漏洞風(fēng)險(xiǎn)。

    由于貴單位可能存在其他不在我公司開發(fā)或維護(hù)范圍內(nèi)的軟件產(chǎn)品,我們建議如下:

    1.  安排負(fù)責(zé)工作人員積極聯(lián)系軟件開發(fā)商確認(rèn)是否存在該漏洞風(fēng)險(xiǎn);

    2.  對(duì)于確認(rèn)存在該漏洞風(fēng)險(xiǎn)軟件產(chǎn)品,積極敦促軟件開發(fā)商提供更新補(bǔ)丁,盡快封堵該安全漏洞;

    3.  如無(wú)法及時(shí)聯(lián)系到原軟件開發(fā)商,或原軟件開發(fā)商無(wú)法及時(shí)給出更新補(bǔ)丁和解決方案,請(qǐng)安排負(fù)責(zé)工作人員及時(shí)與我公司聯(lián)系,我們將積極配合處理該漏洞相關(guān)事宜,以切實(shí)避免網(wǎng)絡(luò)安全事件的發(fā)生。

    湖北國(guó)菱計(jì)算機(jī)科技有限公司

    2021年12月10日

    荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專業(yè)團(tuán)隊(duì) 騰訊第三方平臺(tái) 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號(hào) 備案號(hào):鄂ICP備2021015094號(hào)-1     企業(yè)名稱:湖北國(guó)菱計(jì)算機(jī)科技有限公司