簡介:2021年12月10日,國家信息安全漏洞共享平台(CNVD)收錄了Apache Log4j2遠程代碼執行漏洞(CNVD-2021-95914),此漏洞是一個基於Java的日志記錄工具,為Log4j的升級。作為目前最優秀的Java日志框架之一,被大量用於業務系統開發。
漏洞信息
| 漏洞編號 |
CNVD-2021-95914 |
| 漏洞等級 |
高危 |
| 影響范圍 |
Apache Log4j 2 2.0 - 2.14.1 |
| 安全版本 |
Log4j-2.15.0 |
早在2021年11月24日阿里巴巴雲安全團隊就報告了該漏洞,為了幫助大家更快的識別漏洞,避免受到潛在的攻擊,雲效技術團隊提供了針對該漏洞的處理方案。
源碼級掃描,將風險及時扼殺
阿里雲雲效代碼管理平台 Codeup 的「依賴包漏洞檢測」支持在源碼層面實時掃描依賴包風險,並提供漏洞修復方案,可針對企業代碼庫自動掃描漏洞並快速報出,避免人工肉眼排查可能造成的風險遺漏。
本次 Log4j 已被定義為 Blocker 級別高危漏洞,強烈建議盡快升級修復:
如何使用檢測
代碼庫管理員進入倉庫設置-集成與服務中開啟「依賴包漏洞檢測」,請注意 Java 代碼需要勾選「設置 Java 檢測參數」:
如何修復漏洞
依據檢測建議,修改 Apache Log4j 相關依賴版本至最新的 Log4j-2.15.0 。
自動修復漏洞
手動依次更新依賴文件非常繁瑣,雲效代碼管理平台 Codeup 還提供了智能化的漏洞自動修復能力,當檢測出存在該安全漏洞時,在「安全」問題列表頁面將提供黃色標識,支持一鍵自動修復漏洞:
極致的雲端代碼托管保護
本次 Apache Log4j2 開源依賴包漏洞為所有人敲響警鍾,企業的代碼作為最重要的數字資產之一,很可能正面臨着各種安全風險。企業和開發者在解決這個單點問題的同時,還需要思考如何更全面的保障自己的代碼數據安全。
阿里雲雲效代碼管理平台 Codeup 提供了豐富的安全服務,在訪問安全、數據可信、審計風控、存儲安全等角度全方位保障企業代碼資產安全,如果你開始重視安全這件事,不妨立即前往雲效 Codeup 開始探索。
原文鏈接
本文為阿里雲原創內容,未經允許不得轉載。