1. 修復的CVE
CVE-2021-44228
描述:Java日志庫Apache Log4j2組件中存在遠程代碼執行漏洞。該漏洞是由于Apache Log4j2部分功能存在遞歸解析功能,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據進行遠程代碼執行攻擊,最終獲取服務器最高權限。
需要說明的是,在系統安裝了Log4j組件包,且版本在受影響區間范圍內,同時也使用該組件進行了日志的讀寫操作的情況下,才可能受該漏洞影響。場景說明如下:
1)安裝了Log4j組件包。
2)安裝的Log4j組件包版本在受影響區間范圍內。
3)有應用服務調用了此Log4j組件包進行了日志的讀寫操作。
2. 影響的產品
3. 影響的操作系統及修復版本
銀河麒麟高級服務器操作系統 V10 SP2
log4j-2.13.2-2.ky10
log4j-bom-2.13.2-2.ky10
log4j-help-2.13.2-2.ky10
log4j-jcl-2.13.2-2.ky10
log4j-jmx-gui-2.13.2-2.ky10
log4j-nosql-2.13.2-2.ky10
log4j-slf4j -2.13.2-2.ky10
log4j-taglib-2.13.2-2.ky10
log4j-web-2.13.2-2.ky10
4. 受影響的軟件包
銀河麒麟高級服務器操作系統 V10 SP2
aarch64: log4j、log4j-bom、log4j-help、log4j-jcl、 log4j-jmx-gui、log4j-nosql、log4j-slf4j、 log4j-taglib、log4j-web
x86_64:log4j、log4j-bom、log4j-help、log4j-jcl
log4j-jmx-gui、log4j-nosql、log4j-slf4j、 log4j-taglib、log4j-web
5. 緊急緩解措施
a)配置文件方式關閉(推薦)
在應用程序的classpath中的 log4j2.component.properties 配置文件(如果沒有文件,則手工新建)中添加如下兩行內容(>=2.9.1以及之后版本)
log4j2.formatMsgNoLookups=True
log4j.formatMsgNoLookups=True
b)jvm參數配置關閉(不推薦,容易丟失配置)
在 JVM 啟動參數中加上 -Dlog4j2.formatMsgNoLookups=true 和 -Dlog4j.formatMsgNoLookups=true (對于2.0~2.10版本,應先升級至2.10+,再增加jvm參數)
6. 修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:
銀河麒麟高級服務器操作系統 V10 SP2
aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
2.配置完成后執行更新命令進行升級,命令如下:yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包列表進行升級安裝,命令如下:yum install Packagename
7. 軟件包下載地址
銀河麒麟高級服務器操作系統 V10 SP2
log4j aarch64軟件包下載地址:
log4j x86_64軟件包下載地址:
注:其他相關依賴包請到相同目錄下載
