漏洞描述
2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),攻击者利用该漏洞,可在未授权的情况下远程执行代码。Log4j作为目前最优秀的Java日志记录工具框架之一,被大量用于业务系统开发,影响面极为广泛。
漏洞名称Log4Shell
漏洞编号CVE-2021-44228
漏洞等级高危
影响范围Apache Log4j 2.x < 2.15.0-rc2
安全版本Log4j-2.15.0-r2
谐云DevOps可信源产品,通过可信源库和漏洞库建立起对Java代码依赖包的管理,从容应对Apache Log4j2高危漏洞。(看到最后,附有修复方式)
产品介绍
可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线,维护应用依赖版本库,当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞,在流水线运行过程中对使用到的依赖包做扫描校验,在申请发布前的对发布版本做扫描拦截,扫描范围包括漏洞、基线、可信源匹配,可信源冲突、门禁。在代码合并前经过多人审批,并设置分支保护权限,从而规避相应风险,提高安全等级。
建立可信漏洞库
定期从中央漏洞库拉取漏洞导入系统,支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析,查看漏洞的关联应用血缘和可信源血缘,并发送预警通知。
(漏洞管理-列表)
2021年12月10日,Log4j漏洞发布后可信源产品捕获该漏洞,平台管理员可以设置漏洞解决方案并且为相关应用责任人创建工单。
(漏洞管理-漏洞详情)
漏洞血缘关系,火眼金睛让高危项目无处遁形
平台可以维护可信源依赖的版本库,包含可信源相关的所有依赖的版本。当漏洞到来时候可以系统可将漏洞影响的所有可信源版本关联出来。
(漏洞管理-可信源血缘)
平台维护每个应用的依赖的版本库,包含线上基线版本。当漏洞到来时候可以系统可将漏洞影响的所有所有版本关联出来,管理员针对受影响应用可一键发起工单,通知对应应用研发团队处理。
(漏洞管理-应用可信源)
源码级扫描,源头阻断高危依赖包上线
在应用发布的流水线上,通过配置获取应用依赖 流程节点,可分析Java应用依赖并记录在可信源数据库中,可以配置可信源扫描流水线环节,包括黑名单扫描、漏洞门禁扫、可信源基线扫描、可信源匹配扫描、可信源冲突扫描、可信源依赖差异扫描,进行应用全方位的依赖安全分析。
(流水线配置)
流水线执行后可查看可信源分析报告,如下图对应Log4j的依赖已发现在报告中。
(流水线检查报告)
对于应用生产发布需要提交发布申请,发布申请会进行必要的申请审核,当有高危依赖漏洞时,无法发布生产环节,从源头阻断漏洞的上线。
(工单-检查项)
修复方式
临时修复建议:选择任意一种方式即可
杜绝外网访问
jvm参数 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
通用修复建议:
使用 log4j2 最新安全版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
网友评论