關(guān)于防范 近期出現(xiàn)的高危網(wǎng)絡(luò)安全漏洞 （Apache Log4j任意代碼執(zhí)行漏洞） 的函

來源：湖北國菱計(jì)算機(jī)科技有限公司-湖北國聯(lián)計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司 時(shí)間：2021-12-10

致尊敬的客戶單位：

湖北國菱計(jì)算機(jī)科技有限公司團(tuán)隊(duì)于2021年12月10日上午監(jiān)測到“ApacheLog4j任意代碼執(zhí)行漏洞”，迅速組織應(yīng)急響應(yīng)工作專班進(jìn)行漏洞風(fēng)險(xiǎn)評(píng)估和排查工作。目前，該漏洞已由阿里安全中心、深信服、天融信、奇安信等多家國內(nèi)權(quán)威網(wǎng)絡(luò)安全機(jī)構(gòu)核實(shí)，Apache Log4j項(xiàng)目組已在官方網(wǎng)站確認(rèn)該漏洞。

漏洞描述

Apache Log4j

Apache Log4j 是 Apache 的一個(gè)開源項(xiàng)目，Apache log4j2 是 Log4j 的升級(jí)版本，我們可以控制日志信息輸送的目的地為控制臺(tái)、文件、GUI 組件等，通過定義每一條日志信息的級(jí)別，能夠更加細(xì)致地控制日志的生成過程。

漏洞原理簡述

經(jīng)過分析，該組件存在 Java JNDI 注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

影響范圍

由于Apache Log4j是Java開發(fā)領(lǐng)域應(yīng)用非常之廣泛的一個(gè)組件，目前已確認(rèn)可能的受影響應(yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等，幾乎涵蓋了所有主流應(yīng)用軟件。

由于該漏洞原理簡單，極其容易被利用，且影響面廣泛，我們有理由相信在未來一段時(shí)間內(nèi)會(huì)爆發(fā)眾多利用該漏洞進(jìn)行危害網(wǎng)絡(luò)安全的事件，請(qǐng)務(wù)必引起重視！

風(fēng)險(xiǎn)防范建議

我公司應(yīng)急響應(yīng)專班已第一時(shí)間確認(rèn)，我公司研發(fā)的所有產(chǎn)品未使用Apache Log4j，不在上述漏洞的影響范圍內(nèi)。

貴單位使用的其他由我公司維護(hù)的受影響產(chǎn)品，我公司已第一時(shí)間會(huì)同軟件開發(fā)商、云計(jì)算中心，一方面通過可靠的緩解措施避免該漏洞被利用，另一方面已積極組織技術(shù)團(tuán)隊(duì)與軟件開發(fā)商共同開發(fā)針對(duì)該漏洞風(fēng)險(xiǎn)的更新補(bǔ)丁，我公司應(yīng)急響應(yīng)專班會(huì)持續(xù)關(guān)注漏洞影響范圍發(fā)展，及時(shí)封堵相關(guān)漏洞風(fēng)險(xiǎn)。

由于貴單位可能存在其他不在我公司開發(fā)或維護(hù)范圍內(nèi)的軟件產(chǎn)品，我們建議如下：

1.  安排負(fù)責(zé)工作人員積極聯(lián)系軟件開發(fā)商確認(rèn)是否存在該漏洞風(fēng)險(xiǎn)；

2.  對(duì)于確認(rèn)存在該漏洞風(fēng)險(xiǎn)軟件產(chǎn)品，積極敦促軟件開發(fā)商提供更新補(bǔ)丁，盡快封堵該安全漏洞；

3.  如無法及時(shí)聯(lián)系到原軟件開發(fā)商，或原軟件開發(fā)商無法及時(shí)給出更新補(bǔ)丁和解決方案，請(qǐng)安排負(fù)責(zé)工作人員及時(shí)與我公司聯(lián)系，我們將積極配合處理該漏洞相關(guān)事宜，以切實(shí)避免網(wǎng)絡(luò)安全事件的發(fā)生。

湖北國菱計(jì)算機(jī)科技有限公司

2021年12月10日