苏迪网站群未涉及Apache Log4j2安全漏洞通告
各位用户好:
2021年12月10日,我司通过了解阿里云应急响应团队官方通报以及安全运维同事反馈关于Apache Log4j远程代码执行漏洞的危害性,立即展开快速严谨的分析确认。经盘查,我司网站群版本V1.6、V1.8、V2.0(不含第三方开源软件elasticsearch服务)均不涉及该漏洞。
针对该漏洞的排查结果,我司已安排运维服务人员向用户逐一反馈。如您未收到反馈结果或对本校网站群是否含有该漏洞存疑,请联系我司运维人员,我司对不同版本网站群是否涉及该漏洞均有检查及处理说明文档。
南京苏迪科技有限公司
2021年12月10日
Apache Log4j2是一款Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
经验证, 2.15.0-rc1 版本存在绕过,实际受影响范围为:Apache Log4j 2.x < 2.15.0-rc2。
1、排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。需尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
虽然本次漏洞不涉及V1.6、V1.8旧版本网站群,但面对互联网各种日新月异的高危漏洞以及不断进化的信息安全攻击手段,随着时间的推移,版本较老的网站群系统难免会暴露在各种潜在危险中。
若贵校使用的网站群版本较低,苏迪诚挚建议贵方升级网站群至最新版本,通过更稳固先进的底层架构为信息安全保驾护航!如需升级,请联系我司各区域销售及运维,苏迪将为贵校紧密安排站群升级相关事宜~
注:本文参考了阿里云应急响应公布的漏洞信息。
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)