有关Log4j2 漏洞风险的安全性声明!

2021-12-14

1639475683560108363.jpg


12月9日晚间,Apache Log4j2 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。易路安全团队第一时间与产品团队展开自查,经验证,易路所有产品包括People+及易个税等,均未使用Apache Log4j2组件,并未受到该组件漏洞【Apache Log4j2远程代码执行漏洞(CVE-2021-44228)】的影响,用户无需对易路产品更新版本或进行其他特殊操作,请放心使用。同时温馨提醒企业用户做好自身安全防护与自查。

 

一、 漏洞情况分析

 

Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相

应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

 

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置漏洞情况分析:Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

 

可能受到影响的应用包括但不限于如下:

■ Spring-Boot-strater-log4j2

■ Apache Struts2

■ Apache Solr

■ Apache Flink

■ Apache Druid

■ ElasticSearch

■ flume

■ dubbo

■ Redis

■ logstash

■ kafka

 

二、漏洞修复建议

 

1、使用开源的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)

2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接: 「Release log4j-2.15.0-rc2 · apache/logging-log4j2 · GitHub」- https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时性缓解措施(任选一种)

● 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

● 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

● 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

● 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

● 限制受影响应用对外访问互联网

● WAF添加漏洞攻击代码临时拦截规则。

 

数据时代,维护数据安全,保护自身隐私,是每个企业都应该重视的首要责任。易路作为企业管理SaaS软件厂商,将产品质量和安全作为第一生命线,始终对安全风险“0”容忍,以保障用户数据安全为最高准则,为企业用户保驾护航!


文章标签

热门文章

关于我们

关于我们

隐私声明

隐私声明

如何通过人事系统软件来改善HR的工作?

如何通过人事系统软件来改善HR的工作?

通过上线使用人力资源系统,可以通过信息化将企业常规的事务管理全部落实到系统中自动运行,HR可以从繁琐事务解放出来深度介入企业管理,并且借助系统的管理功能,实现企业组织架构、事务流程的优化、优化员工薪资分配、辅助企业做出合理的决策,从而改善企业的管理效益。

选择易路hr人力资源软件好在哪里?

选择易路hr人力资源软件好在哪里?

国内人力系统厂商都非常熟悉国内企业的管理情况,了解企业的管理需求。因此hr人力资源软件功能更能贴合国内企业的情况,更好地帮助企业解决问题,满足企业需求。由于国内人力系统厂商扎根于当地市场,在售前售后服务方面会更加周到,更有优势。

易路正式获批成为国家级信创工委会成员单位!

易路正式获批成为国家级信创工委会成员单位!

绩效考核管理系统对企业来说有哪些帮助?

绩效考核管理系统对企业来说有哪些帮助?

利用绩效管理系统可以实现对企业各个岗位不同的绩效考核管理,遵循绩效考评的基本原理,绩效管理系统可以自定义绩效指标,来满足特殊岗位的绩效考核需求,能够帮助企业快速分解战略目标至相关部门或人员身上,建立合理的绩效制度,将员工绩效和企业战略发展目标进行结合,保证员工工作的有效性。

现代企业对人事管理系统软件有哪些新的标准?

现代企业对人事管理系统软件有哪些新的标准?

信息化管理是现代企业的重要趋势,企业对于人力资源系统的需求不再像以往那样简单,仅能解决事务的系统是无法满足企业。人事管理系统软件要具备即用化的特点,需要具备移动化,能够在手机、平板等各种移动平台进行应用,能够随时随地进行系统的使用操作,摆脱空间限制使用更灵活,能够大大提升事务的管理效率。同时为了推进企业全面的信息化。

人事管理和人力资源管理之间的主要区别

人事管理和人力资源管理之间的主要区别

​人事管理和人力资源管理之间的主要区别在于它们的范围和方向。人事管理是管理的一部分,处理员工的招聘、雇用、人员配备、发展和薪酬及其与组织的关系,以实现组织目标。人力资源管理的范围更广,将员工视为组织的资产。它促进了目标、责任、奖励等方面的相互性,这将有助于提高经济绩效和人力资源的高水平开发。

双十一来临,物流行业如何做好人员管理与激励?

双十一来临,物流行业如何做好人员管理与激励?

易路峰会成功举办,发布2款新品【 易搭与数据洞察】

易路峰会成功举办,发布2款新品【 易搭与数据洞察】

推荐文章

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

先易后难还是先难后易,HR SaaS厂商该如何选择?

先易后难还是先难后易,HR SaaS厂商该如何选择?

在线咨询

电话咨询

400-825-1616

预约演示

个税助理

扫码互动