沒有影響,請放心使用
WGCLOUD沒有使用Apache Log4j 來打印輸出日志
WGCLOUD采用的日志輸出方式為SLF4J和Logback
WGCLOUD監控系統關於Apache Log4j的說明(針對server所有版本)
1.WGCLOUD一直采用日志輸出方式為SLF4J和Logback
2.程序中沒有使用到Apache Log4j 來打印輸出日志信息
3.從沒有引入過Apache log4j-core Jar包
4.目前網絡通報中受影響的組件,WGCLOUD也沒有使用
5.目前server運行環境,JDK支持JDK1.8和JDK11
6.agent采用go編寫,沒有使用java,因此不用管
7.我們僅有依賴log4j-api-2.13.3.jar,apache官網已回復此包無影響,看下圖
以下來自https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues
以下引自阿里雲2021.12.09說明
漏洞預警】Apache Log4j2 遠程代碼執行漏洞(CVE-2021-44228)
2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。2021年12月10日,阿里雲安全團隊發現 Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0-rc2 版本。
漏洞描述
Apache Log4j2是一款優秀的Java日志框架。2021年11月24日,阿里雲安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。由於Apache Log4j2某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。漏洞利用無需特殊配置,經阿里雲安全團隊驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。2021年12月10日,阿里雲安全團隊發現 Apache Log4j 2.15.0-rc1 版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0-rc2 版本。阿里雲應急響應中心提醒 Apache Log4j2 用戶盡快采取安全措施阻止漏洞攻擊。
漏洞評級
CVE-2021-44228 Apache Log4j 遠程代碼執行漏洞 嚴重
影響版本
經驗證 2.15.0-rc1 版本存在繞過,實際受影響范圍如下:
Apache Log4j 2.x < 2.15.0-rc2
安全建議
1、排查應用是否引入了Apache log4j-core Jar包,若存在依賴引入,且在受影響版本范圍內,則可能存在漏洞影響。請盡快升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2、升級已知受影響的應用及組件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3、可升級jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。
相關鏈接
1、https://github.com/apache/logging-log4j2
2、https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
雲盾WAF已可防護該類漏洞,並提供7天免費漏洞應急服務,為您爭取漏洞修復時間,應急開通地址:https://c.tb.cn/I3.XzCtR
阿里雲雲安全中心應用漏洞模塊已支持對該漏洞一鍵檢測
阿里雲雲防火牆已可防御此漏洞攻擊
我們會關注后續進展,請隨時關注官方公告。
如有任何問題,可隨時通過工單聯系反饋。
阿里雲應急響應中心
2021.12.9