有关Log4j2 漏洞风险的安全性声明!

2021-12-14

1639475683560108363.jpg


12月9日晚间,Apache Log4j2 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。易路安全团队第一时间与产品团队展开自查,经验证,易路所有产品包括People+及易个税等,均未使用Apache Log4j2组件,并未受到该组件漏洞【Apache Log4j2远程代码执行漏洞(CVE-2021-44228)】的影响,用户无需对易路产品更新版本或进行其他特殊操作,请放心使用。同时温馨提醒企业用户做好自身安全防护与自查。

 

一、 漏洞情况分析

 

Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相

应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

 

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置漏洞情况分析:Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

 

可能受到影响的应用包括但不限于如下:

■ Spring-Boot-strater-log4j2

■ Apache Struts2

■ Apache Solr

■ Apache Flink

■ Apache Druid

■ ElasticSearch

■ flume

■ dubbo

■ Redis

■ logstash

■ kafka

 

二、漏洞修复建议

 

1、使用开源的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)

2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接: 「Release log4j-2.15.0-rc2 · apache/logging-log4j2 · GitHub」- https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时性缓解措施(任选一种)

● 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

● 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

● 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

● 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

● 限制受影响应用对外访问互联网

● WAF添加漏洞攻击代码临时拦截规则。

 

数据时代,维护数据安全,保护自身隐私,是每个企业都应该重视的首要责任。易路作为企业管理SaaS软件厂商,将产品质量和安全作为第一生命线,始终对安全风险“0”容忍,以保障用户数据安全为最高准则,为企业用户保驾护航!


文章标签

热门文章

关于我们

关于我们

易路人力资源科技是一家专注为中大型企业提供以复杂薪酬管理为核心的一站式人力资源软件及服务供应商。旗下People+产品平台主要分为薪酬云、动态佣金云、易个税、以及多种人力资源专业服务。

人力资源服务包含哪些服务?

人力资源服务包含哪些服务?

人力资源服务能够提供的服务项目,特别是国内的中小型企业,把人力资源完全服务可以明显降低人工成本,提高企业核心竞争力。人力资源服务可以给用人单位的人力资源部门提高工作效率,降低人力资源成本,将重要的精力集中到更重要的事项上面,建立企业文化,处理员工关系等更加细致的工作。

使用hr人事管理系统都有哪些目的?

使用hr人事管理系统都有哪些目的?

企业通过人力资源管理系统可以实时掌控企业各部门的人力资源信息,加快提升人力资源管理水平,提高公司的市场响应速度,加强企业的规范化管理、适应多变的市场竞争环境。通过人力资源管理系统可实时采集一线的人力资源数据,企业高层决策者能够实时掌握员工情况。

薪酬没有边界

薪酬没有边界

常用的人事管理软件功能都有哪些?

常用的人事管理软件功能都有哪些?

合理使用人事管理软件能为企业整体人力资源管理水平带来很大的提升,常用人事管理软件能为公司领导层策和解决问题提供支持,实现企业招聘流程管理自动化,招聘需求创建、提报、审批等全流程线上管理,招聘需求与企业编制智能同步等功能。薪资的自动计算和报表生成,减少人力资源管理的日常工作时间,有利于工作效率的提升,降低了时间成本

员工退休业务在HCM系统中如何处理?

员工退休业务在HCM系统中如何处理?

员工退休业务在HCM系统中如何处理?企业员工退休可以分为两种情况:一种是办理退休手续后解除和企业的劳动合同关系,员工离职回家休养,另一种是和企业解除劳动合同关系,退休后被企业返聘为劳务人员继续为企业工作,签署劳务聘用协议,成为企业的劳务用工。

2020年度个税汇算清缴政策有哪些变化?

2020年度个税汇算清缴政策有哪些变化?

人力资源管理数字化包含哪些层面?能做什么?

人力资源管理数字化包含哪些层面?能做什么?

数字化人力资源管理第一个层面的工作就是要在企业建立"数字孪生员工"。企业就可以利用大数据技术监测和分析员工的日常行为表现,预测员工未来的绩效与离职倾向。 另一层面是人力资源工作流程的数字化:包括招聘、培训、考核、薪酬以及员工的职业发展等工作流程的数字化。

英恒专访:技术研发企业数字化转型该如何迈出第一步?

英恒专访:技术研发企业数字化转型该如何迈出第一步?

英恒成立于2001年,始终专注于汽车电子应用市场的方案解决与技术开发服务。“多年蛰伏,一朝蝶变。”2017年开始,英恒整体发展进入加速阶段,人员数量和需求量快速增加,业务规模和需求也与日俱增。2018年,恰逢公司上市,人力资源数字化转型势在必行。

用数字化技术赋能一线人才管理

用数字化技术赋能一线人才管理

推荐文章

薪酬没有边界

薪酬没有边界

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

在线咨询

电话咨询

400-825-1616

预约演示

个税助理

扫码互动