文章
文章用户文档快讯圈子网址导航

关于 Log4j2漏洞(CVE-2021-44228)的影响

释放双眼,带上耳机,听听看~!

更新时间:2021年12月19日星期日

 

安全已关注到关于 Apache “Log4j2”的安全问题(CVE-2021-44228),并已第一时间启动安全风险的治理。安全会持续监控此问题的更新,保障与Log4j2相关的云产品及云服务的安全性,让广大用户放心使用。

 

安全强烈建议客户关注 Log4j2 相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。如果您需要更多详细信息或帮助,请联系 安全客服 咨询。

一、云产品自身修复进展

云服务器 ECS

安全ECS默认官方镜像以及Alibaba Cloud Linux中提供的 Log4j 版本为1.2.17,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

关系型数据库 RDS

安全RDS MYSQL/PostgreSQL/SQL Server 产品实例未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

弹性公网IP

安全EIP产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

MaxCompute

MaxCompute产品整体服务自身不受此漏洞的影响。 经排查内部个别非服务性组件存在对Log4j2的依赖,MaxCompute产品已于2021年12月15日完成中国区域版本的修复,海外区域正在部署版本升级中。MaxCompute产品默认提供安全的UDF(用户自定义函数)隔离机制,默认禁止UDF对外部网络的访问,UDF自身受Log4j2安全漏洞的风险可控。对于已开通UDF访问外部网络功能且使用了Log4j2的用户,我们建议您尽快升级UDF中的 Log4j2 到最新版本。

 

负载均衡 SLB

安全负载均衡产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

容器服务ACK

安全容器服务 ACK产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

SSL证书

安全SSL证书产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

CDN

安全CDN产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

对象存储 OSS

安全OSS对外服务未使用Apache Log4j2组件,不受此次CVE-2021-44228 影响。

 

弹性容器实例 ECI

安全ECI默认不提供JAVA环境组件,不受Apache Log4j2漏洞(CVE-2021-44228) 影响。

 

访问控制 RAM

安全RAM对外服务未使用Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

日志服务 SLS

经排查,安全SLS产品未使用受影响的Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

容器镜像服务 ACR

安全容器镜像服务ACR未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

DataWorks

针对 Apache Log4j2(CVE-2021-44228)问题,Dataworks产品于 2021 年 12 月 14日完成了公有云产品的缓解措施部署,正在积极更新所有受影响组件至最新版本的 Log4j2,将在更新完成后第一时间发送公告。对于Dataworks提供的UDF(用户自定义函数)功能,其产品代码运行中安全加固的沙箱环境中,安全风险低。但针对UDF可能存在外部数据依赖的场景,我们仍建议用户将Log4j2更新到最新版本。如有其它问题用户可直接通过工单系统进行提问。

 

云安全中心 SAS

安全SAS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

Web应用防火墙 WAF

安全WAF产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

NAT网关

安全NAT产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

文件存储 NAS

安全NAS控制台已完成Log4j2版本的更新,NAS服务本身不受Apache Log4j2漏洞(CVE-2021-44228)的影响。

 

域名服务 DOMAIN

安全域名产品各项系统模块均已完成针对Apache Log4j2(CVE-2021-44228)漏洞修复。

 

云解析DNS

安全DNS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

Quick BI

安全Quick Bi使用的Log4j2版本不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

二、面向客户的通知

安全安全于12月9日23时,对客户发布安全预警公告(《【漏洞通告】Apache Log4j2 远程代码执行漏洞》)。同时安全第一时间关注客户的影响情况,通过短信、邮件、站内信的形式,通知全量客户关注风险,及时升级到最新版本修复漏洞,安全将持续关注漏洞进展情况,及时发布更新漏洞相关公告信息。

Related posts:

  1. 【漏洞公告】微软“6月周二补丁日”发布50个漏洞补丁
  2. 微软6月Patch Tuesday修复影响所有Windows的漏洞
  3. 预警Apache Skywalking GraphQL 注入与远程代码执行漏洞
  4. 预警Apache OFBiz 反序列化任意代码执行漏洞(CVE-2021-30128等)

给TA打赏
共{{data.count}}人
人已打赏
[db:标签]CDN云服务器代码执行加固域名安全安全加固安全漏洞安全问题安全风险执行漏洞数据服务器漏洞监控系统负载均衡远程代码远程代码执行远程代码执行漏洞防火墙隔离预警
安全漏洞

预警XStream < 1.4.18 反序列化远程代码执行漏洞(CVE-2021-39139等)

2021-12-10 11:36:11

安全漏洞

关于 Linux 内核本地提权漏洞的安全问题(CVE-2022-0847)影响

2022-3-8 11:36:11

猜你喜欢

解锁会员权限

开通会员

解锁海量优质VIP资源

立刻开通
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

返回顶部