谐云DevOps产品可信源管理从容应对Apache Log4j2高危漏洞

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),攻击者利用该漏洞,可在未授权的情况下远程执行代码。Log4j作为目前最优秀的Java日志记录工具框架之一,被大量用于业务系统开发,影响面极为广泛。

漏洞名称 Log4Shell
漏洞编号 CVE-2021-44228
漏洞等级 高危
影响范围 Apache Log4j 2.x < 2.15.0-rc2
安全版本 Log4j-2.15.0-r2

谐云DevOps可信源产品,通过可信源库和漏洞库建立起对Java代码依赖包的管理,从容应对Apache Log4j2高危漏洞。(看到最后,附有修复方式

产品介绍

可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线,维护应用依赖版本库,当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞,在流水线运行过程中对使用到的依赖包做扫描校验,在申请发布前的对发布版本做扫描拦截,扫描范围包括漏洞、基线、可信源匹配,可信源冲突、门禁。在代码合并前经过多人审批,并设置分支保护权限,从而规避相应风险,提高安全等级。

建立可信漏洞库

定期从中央漏洞库拉取漏洞导入系统,支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析,查看漏洞的关联应用血缘和可信源血缘,并发送预警通知。

(漏洞管理-列表)

2021年12月10日,Log4j漏洞发布后可信源产品捕获该漏洞,平台管理员可以设置漏洞解决方案并且为相关应用责任人创建工单。

(漏洞管理-漏洞详情)

漏洞血缘关系,火眼金睛让高危项目无处遁形

平台可以维护可信源依赖的版本库,包含可信源相关的所有依赖的版本。当漏洞到来时候可以系统可将漏洞影响的所有可信源版本关联出来。

(漏洞管理-可信源血缘)

平台维护每个应用的依赖的版本库,包含线上基线版本。当漏洞到来时候可以系统可将漏洞影响的所有所有版本关联出来,管理员针对受影响应用可一键发起工单,通知对应应用研发团队处理。

(漏洞管理-应用可信源)

源码级扫描,源头阻断高危依赖包上线

在应用发布的流水线上,通过配置获取应用依赖 流程节点,可分析Java应用依赖并记录在可信源数据库中,可以配置可信源扫描流水线环节,包括黑名单扫描、漏洞门禁扫、可信源基线扫描、可信源匹配扫描、可信源冲突扫描、可信源依赖差异扫描,进行应用全方位的依赖安全分析。

(流水线配置)

流水线执行后可查看可信源分析报告,如下图对应Log4j的依赖已发现在报告中。

(流水线检查报告)

对于应用生产发布需要提交发布申请,发布申请会进行必要的申请审核,当有高危依赖漏洞时,无法发布生产环节,从源头阻断漏洞的上线。

(工单-检查项)

修复方式

临时修复建议:选择任意一种方式即可

  • 杜绝外网访问
  • jvm参数 -Dlog4j2.formatMsgNoLookups=true
  • log4j2.formatMsgNoLookups=True
  • 系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

通用修复建议:

使用 log4j2 最新安全版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

K8S中文社区微信公众号

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址