關于防范 近期出現(xiàn)的高危網(wǎng)絡安全漏洞 （Apache Log4j任意代碼執(zhí)行漏洞） 的函

來源：湖北國菱計算機科技有限公司-湖北國聯(lián)計算機科技有限公司-荊州網(wǎng)站建設-荊州軟件開發(fā)-政府網(wǎng)站建設公司 時間：2021-12-10

致尊敬的客戶單位：

湖北國菱計算機科技有限公司團隊于2021年12月10日上午監(jiān)測到“ApacheLog4j任意代碼執(zhí)行漏洞”，迅速組織應急響應工作專班進行漏洞風險評估和排查工作。目前，該漏洞已由阿里安全中心、深信服、天融信、奇安信等多家國內權威網(wǎng)絡安全機構核實，Apache Log4j項目組已在官方網(wǎng)站確認該漏洞。

漏洞描述

Apache Log4j

Apache Log4j 是 Apache 的一個開源項目，Apache log4j2 是 Log4j 的升級版本，我們可以控制日志信息輸送的目的地為控制臺、文件、GUI 組件等，通過定義每一條日志信息的級別，能夠更加細致地控制日志的生成過程。

漏洞原理簡述

經(jīng)過分析，該組件存在 Java JNDI 注入漏洞，當程序將用戶輸入的數(shù)據(jù)進行日志，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標服務器上執(zhí)行任意代碼。

影響范圍

由于Apache Log4j是Java開發(fā)領域應用非常之廣泛的一個組件，目前已確認可能的受影響應用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等，幾乎涵蓋了所有主流應用軟件。

由于該漏洞原理簡單，極其容易被利用，且影響面廣泛，我們有理由相信在未來一段時間內會爆發(fā)眾多利用該漏洞進行危害網(wǎng)絡安全的事件，請務必引起重視！

風險防范建議

我公司應急響應專班已第一時間確認，我公司研發(fā)的所有產品未使用Apache Log4j，不在上述漏洞的影響范圍內。

貴單位使用的其他由我公司維護的受影響產品，我公司已第一時間會同軟件開發(fā)商、云計算中心，一方面通過可靠的緩解措施避免該漏洞被利用，另一方面已積極組織技術團隊與軟件開發(fā)商共同開發(fā)針對該漏洞風險的更新補丁，我公司應急響應專班會持續(xù)關注漏洞影響范圍發(fā)展，及時封堵相關漏洞風險。

由于貴單位可能存在其他不在我公司開發(fā)或維護范圍內的軟件產品，我們建議如下：

1.  安排負責工作人員積極聯(lián)系軟件開發(fā)商確認是否存在該漏洞風險；

2.  對于確認存在該漏洞風險軟件產品，積極敦促軟件開發(fā)商提供更新補丁，盡快封堵該安全漏洞；

3.  如無法及時聯(lián)系到原軟件開發(fā)商，或原軟件開發(fā)商無法及時給出更新補丁和解決方案，請安排負責工作人員及時與我公司聯(lián)系，我們將積極配合處理該漏洞相關事宜，以切實避免網(wǎng)絡安全事件的發(fā)生。

湖北國菱計算機科技有限公司

2021年12月10日