有关Log4j2 漏洞风险的安全性声明!

2021-12-14

1639475683560108363.jpg


12月9日晚间,Apache Log4j2 的远程代码执行漏洞细节被公开,该漏洞一旦被攻击者利用会造成严重危害。易路安全团队第一时间与产品团队展开自查,经验证,易路所有产品包括People+及易个税等,均未使用Apache Log4j2组件,并未受到该组件漏洞【Apache Log4j2远程代码执行漏洞(CVE-2021-44228)】的影响,用户无需对易路产品更新版本或进行其他特殊操作,请放心使用。同时温馨提醒企业用户做好自身安全防护与自查。

 

一、 漏洞情况分析

 

Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相

应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

 

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置漏洞情况分析:Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

 

可能受到影响的应用包括但不限于如下:

■ Spring-Boot-strater-log4j2

■ Apache Struts2

■ Apache Solr

■ Apache Flink

■ Apache Druid

■ ElasticSearch

■ flume

■ dubbo

■ Redis

■ logstash

■ kafka

 

二、漏洞修复建议

 

1、使用开源的洞态IAST进行检测 --》DongTai-IAST(https://dongtai.io)

2、检查pom.xml是否存在log4j版本 2.0<= 2.14.1

3、当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接: 「Release log4j-2.15.0-rc2 · apache/logging-log4j2 · GitHub」- https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时性缓解措施(任选一种)

● 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

● 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

● 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

● 创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

● 限制受影响应用对外访问互联网

● WAF添加漏洞攻击代码临时拦截规则。

 

数据时代,维护数据安全,保护自身隐私,是每个企业都应该重视的首要责任。易路作为企业管理SaaS软件厂商,将产品质量和安全作为第一生命线,始终对安全风险“0”容忍,以保障用户数据安全为最高准则,为企业用户保驾护航!


文章标签

热门文章

关于我们

关于我们

隐私声明

隐私声明

易路正式获批成为国家级信创工委会成员单位!

易路正式获批成为国家级信创工委会成员单位!

 酷公司 | 锦江酒店(中国区)以“数字之翼”赴“锦玉前程”

酷公司 | 锦江酒店(中国区)以“数字之翼”赴“锦玉前程”

“锦程人才系统”在锦江酒店(中国区)的人力资源整体战略中,不仅仅是一个系统,更是人力资源管理变革的有效“抓手”。锦江酒店(中国区)通过这一“变革抓手”倒逼多个法人实体HR业务规则的一致性及数据和流程的规范性,并在此基础上将事务性工作集约处理。在降本增效、合规风控、提升员工体验的同时,让HR团队有更多时间和精力赋能业务,为业务提供定制化的人力资源解决方案。

酷公司 | 零食界顶流如何让人力资源管理鲜潮升级?

酷公司 | 零食界顶流如何让人力资源管理鲜潮升级?

我们希望上线的产品能够快速的进行迭代,包括界面及管理功能,而易路能为我们提供个性化的服务,灵活响应我们的需求。另外,新税法出来后,我们也希望升级薪酬系统,而薪酬也是易路的优势,技术相对成熟。

峰会回顾 | 12月16日,易路未来人力科技趋势峰会广州站成功举办

峰会回顾 | 12月16日,易路未来人力科技趋势峰会广州站成功举办

员工关爱·易健康 | 易路隔离申报远程办公应用

员工关爱·易健康 | 易路隔离申报远程办公应用

酷公司 | 数字化技术如何为智慧文旅插上腾飞的翅膀

酷公司 | 数字化技术如何为智慧文旅插上腾飞的翅膀

作为拥有腾讯基因的腾云公司自2017年成立以来,不断在智慧旅游、文旅融合方面深入探索,将“科技创新”、“数字变革”与“数字云南”紧密结合。伴随着数字化推进的同时,其人力资源管理转型也在同步进行。

酷公司 | 全球500强保险公司的数字焕新之旅

酷公司 | 全球500强保险公司的数字焕新之旅

利宝选择与易路携手人力资源数字化转型,换新系统,焕新活力,百年守护,全新启航。

2022年度个税代扣代缴手续费可以领取了,易个税就能操作

2022年度个税代扣代缴手续费可以领取了,易个税就能操作

自2022年1月1日至3月30日,可申请办理2021年度个人所得税扣缴手续费退付。

推荐文章

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

易路创始人王天扬:To B要从高难度场景切入,发展越大越要聚焦

先易后难还是先难后易,HR SaaS厂商该如何选择?

先易后难还是先难后易,HR SaaS厂商该如何选择?

在线咨询

电话咨询

400-825-1616

预约演示

个税助理

扫码互动