谐云DevOps产品可信源管理从容应对Apache Log4j2高危漏洞

漏洞描述

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）,攻击者利用该漏洞，可在未授权的情况下远程执行代码。Log4j作为目前最优秀的Java日志记录工具框架之一，被大量用于业务系统开发，影响面极为广泛。

漏洞名称Log4Shell

漏洞编号CVE-2021-44228

漏洞等级高危

影响范围Apache Log4j 2.x < 2.15.0-rc2

安全版本Log4j-2.15.0-r2

谐云DevOps可信源产品，通过可信源库和漏洞库建立起对Java代码依赖包的管理，从容应对Apache Log4j2高危漏洞。（看到最后，附有修复方式）

产品介绍

可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线，维护应用依赖版本库，当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞，在流水线运行过程中对使用到的依赖包做扫描校验，在申请发布前的对发布版本做扫描拦截，扫描范围包括漏洞、基线、可信源匹配，可信源冲突、门禁。在代码合并前经过多人审批，并设置分支保护权限，从而规避相应风险，提高安全等级。

建立可信漏洞库

定期从中央漏洞库拉取漏洞导入系统，支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析，查看漏洞的关联应用血缘和可信源血缘，并发送预警通知。

（漏洞管理-列表）

2021年12月10日，Log4j漏洞发布后可信源产品捕获该漏洞，平台管理员可以设置漏洞解决方案并且为相关应用责任人创建工单。

（漏洞管理-漏洞详情）

漏洞血缘关系，火眼金睛让高危项目无处遁形

平台可以维护可信源依赖的版本库，包含可信源相关的所有依赖的版本。当漏洞到来时候可以系统可将漏洞影响的所有可信源版本关联出来。

（漏洞管理-可信源血缘）

平台维护每个应用的依赖的版本库，包含线上基线版本。当漏洞到来时候可以系统可将漏洞影响的所有所有版本关联出来，管理员针对受影响应用可一键发起工单，通知对应应用研发团队处理。

（漏洞管理-应用可信源）

源码级扫描，源头阻断高危依赖包上线

在应用发布的流水线上，通过配置获取应用依赖 流程节点，可分析Java应用依赖并记录在可信源数据库中，可以配置可信源扫描流水线环节，包括黑名单扫描、漏洞门禁扫、可信源基线扫描、可信源匹配扫描、可信源冲突扫描、可信源依赖差异扫描，进行应用全方位的依赖安全分析。

（流水线配置）

流水线执行后可查看可信源分析报告，如下图对应Log4j的依赖已发现在报告中。

（流水线检查报告）

对于应用生产发布需要提交发布申请，发布申请会进行必要的申请审核，当有高危依赖漏洞时，无法发布生产环节，从源头阻断漏洞的上线。

（工单-检查项）

修复方式

临时修复建议：选择任意一种方式即可

杜绝外网访问

jvm参数 -Dlog4j2.formatMsgNoLookups=true 

log4j2.formatMsgNoLookups=True 

系统环境变量

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true 

通用修复建议：

使用 log4j2 最新安全版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2