行業(yè)資訊

Apache Log4j 突發(fā)核彈級別安全漏洞，如何確保系統(tǒng)安全？

2021/12/17 10:23:06 來源：中國企業(yè)新聞網(wǎng) 評論：(0)

導(dǎo)言：核彈級漏洞Log4j事件想必大家都知道了吧?該漏洞利用方式十分簡單，攻擊者僅需一段代碼就可以遠程控制目標服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響，影響范圍極大。

　　核彈級漏洞Log4j事件想必大家都知道了吧?該漏洞利用方式十分簡單，攻擊者僅需一段代碼就可以遠程控制目標服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響，影響范圍極大。

　　能引發(fā)技術(shù)圈大地震，Apache Log4j不簡單，它是一款開源的Java日志框架，被廣泛地應(yīng)用在中間件、開發(fā)框架、Web應(yīng)用中，用來記錄日志信息。而這些中間件和開發(fā)框架作為軟件基礎(chǔ)又被其他軟件系統(tǒng)使用，所以Log4j被極其廣泛的應(yīng)用在各大軟件系統(tǒng)里面。比如大家耳熟能詳?shù)挠螒? Minecraft(我的世界)，甚至NASA 在火星上的直升機都使用了Log4j!

　　Java是業(yè)界使用最廣泛的編程語言，也是騫云的主流開發(fā)語言之一(我們還用了大量的Python、Angular、Javascript、Go等，喜歡多語言開發(fā)的攻城獅們趕緊看過來)。我們平臺不但直接使用Log4j2，采用的很多Java類庫也用了Log4j2，這里面包括Tomcat、ElasticSearch、Skywalking，甚至還有古老的VMware vSphere Java SDK也依賴這個日志框架。所以從漏洞爆出的第一天，騫云的技術(shù)團隊就開始投入到這個緊急事件的處理中。

　　經(jīng)分析發(fā)現(xiàn)，我們還是比較幸運的，這次的安全漏洞對騫云平臺基本沒有影響。這得益于騫云的產(chǎn)品平臺每年都有3-4次版本迭代更新，每次更新都會將各種運行環(huán)境升級到最新的版本，且絕大部分客戶也會采購升級服務(wù)，所以大部分用戶都在用騫云平臺的6.1.x以上版本。從去年中發(fā)布的6.1版本開始，平臺就升級到了最新JDK 8u261。幸運的是，Oracle JDK 8u191或者更高版本的JDK，缺省不允許執(zhí)行遠程代碼。所以使用騫云6.1及以上版本的客戶，就不存在遠程代碼執(zhí)行的問題。當然，如果本地操作系統(tǒng)已經(jīng)被攻破，預(yù)先被植入惡意本地代碼，那惡意代碼就可以本地漏洞調(diào)用。邏輯上，所在操作系統(tǒng)環(huán)境已經(jīng)被攻破了，就沒必要利用這漏洞來控制肉雞機器了。

　　即使此次的安全漏洞對騫云絕大部分客戶沒有什么安全影響，我們的研發(fā)團隊還是第一時間發(fā)布了安全補丁包，將我們平臺直接依賴的Log4j2升級到了當天最新的2.15最新版本，并關(guān)閉JNDI Lookup。12月10日晚，我們已經(jīng)完成需要線上對外服務(wù)的所有部署系統(tǒng)的補丁升級。周一13號開始，經(jīng)過驗證的補丁包就開始給到我們的交付同事，幫助客戶環(huán)境進行升級，到今天16號為止，我們的絕大部分客戶版本，均已完成漏洞修補。

　　昨天12月15日，Apache Log4j2 官方又發(fā)布了2.16版本，主要修復(fù)了以下兩個潛在問題：

　　1. 利用 JMSAppender 造成遠程代碼執(zhí)行;

　　2. 用戶配置log4j，使用非默認模式布局和上下文查找(例如$${ctx:loginId})或線程上下文映射模式(%X、%mdc或%MDC)，這種情況下可能被攻擊導(dǎo)致拒絕服務(wù)(DoS)。

　　這兩種情況在騫云的產(chǎn)品里都不存在。我們沒有使用JMSAppender; 使用的是默認模式布局(PatternLayout), 沒有使用上下文查找，也沒有使用線程上下文映射模式。因此對于騫云平臺，Log4j 2.16 補丁不是必須的。

　　軟件的漏洞有時不可避免，這次的Apache Log4j安全漏洞，前一段時間的OpenSSL Heartbleed漏洞、 Fastjson高危漏洞、Struts2遠程代碼執(zhí)行漏洞等等。根據(jù)Gartner的相關(guān)統(tǒng)計，到 2025 年，30% 的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞。基礎(chǔ)設(shè)施組織中，一個組件遭遇安全問題就會引發(fā)整個架構(gòu)的“地震”，以Log4j為例，一張圖看懂它在現(xiàn)代軟件基礎(chǔ)設(shè)施中的地位↓

　　(*作為基礎(chǔ)設(shè)施架構(gòu)的一個“支點”，Log4j舉足輕重，牽一發(fā)而動全身)

　　軟件的安全問題牽一發(fā)而動全身，如果被利用，產(chǎn)生的損失很多時候是難以估量的。由這次安全事件的分析評估可見，一個軟件系統(tǒng)，持續(xù)的更新迭代、專業(yè)及時的維保服務(wù)都十分關(guān)鍵，能夠最大程度保障軟件平臺的穩(wěn)定、安全，為企業(yè)的業(yè)務(wù)發(fā)展保駕護航。

　　騫云科技也會繼續(xù)努力，保障我們客戶的系統(tǒng)安全和穩(wěn)定。

免責聲明：

※ 以上所展示的信息來自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本網(wǎng)站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的，請在30日內(nèi)進行。
※ 有關(guān)作品版權(quán)事宜請聯(lián)系中國企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時內(nèi)審核并處理。

分享到：

[責任編輯：劉怡伽]