关于 Log4j2漏洞(CVE-2021-44228)的影响

释放双眼,带上耳机,听听看~!

更新时间:2021年12月19日星期日

 

安全已关注到关于 Apache “Log4j2”的安全问题(CVE-2021-44228),并已第一时间启动安全风险的治理。安全会持续监控此问题的更新,保障与Log4j2相关的云产品及云服务的安全性,让广大用户放心使用。

 

安全强烈建议客户关注 Log4j2 相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。如果您需要更多详细信息或帮助,请联系 安全客服 咨询。

一、云产品自身修复进展

云服务器 ECS

安全ECS默认官方镜像以及Alibaba Cloud Linux中提供的 Log4j 版本为1.2.17,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

关系型数据库 RDS

安全RDS MYSQL/PostgreSQL/SQL Server 产品实例未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

弹性公网IP

安全EIP产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

MaxCompute

MaxCompute产品整体服务自身不受此漏洞的影响。 经排查内部个别非服务性组件存在对Log4j2的依赖,MaxCompute产品已于2021年12月15日完成中国区域版本的修复,海外区域正在部署版本升级中。MaxCompute产品默认提供安全的UDF(用户自定义函数)隔离机制,默认禁止UDF对外部网络的访问,UDF自身受Log4j2安全漏洞的风险可控。对于已开通UDF访问外部网络功能且使用了Log4j2的用户,我们建议您尽快升级UDF中的 Log4j2 到最新版本。

 

负载均衡 SLB

安全负载均衡产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

容器服务ACK

安全容器服务 ACK产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

SSL证书

安全SSL证书产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

CDN

安全CDN产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

对象存储 OSS

安全OSS对外服务未使用Apache Log4j2组件,不受此次CVE-2021-44228 影响。

 

弹性容器实例 ECI

安全ECI默认不提供JAVA环境组件,不受Apache Log4j2漏洞(CVE-2021-44228) 影响。

 

访问控制 RAM

安全RAM对外服务未使用Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

日志服务 SLS

经排查,安全SLS产品未使用受影响的Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

容器镜像服务 ACR

安全容器镜像服务ACR未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

DataWorks

针对 Apache Log4j2(CVE-2021-44228)问题,Dataworks产品于 2021 年 12 月 14日完成了公有云产品的缓解措施部署,正在积极更新所有受影响组件至最新版本的 Log4j2,将在更新完成后第一时间发送公告。对于Dataworks提供的UDF(用户自定义函数)功能,其产品代码运行中安全加固的沙箱环境中,安全风险低。但针对UDF可能存在外部数据依赖的场景,我们仍建议用户将Log4j2更新到最新版本。如有其它问题用户可直接通过工单系统进行提问。

 

云安全中心 SAS

安全SAS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

Web应用防火墙 WAF

安全WAF产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

NAT网关

安全NAT产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

 

文件存储 NAS

安全NAS控制台已完成Log4j2版本的更新,NAS服务本身不受Apache Log4j2漏洞(CVE-2021-44228)的影响。

 

域名服务 DOMAIN

安全域名产品各项系统模块均已完成针对Apache Log4j2(CVE-2021-44228)漏洞修复。

 

云解析DNS

安全DNS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

 

Quick BI

安全Quick Bi使用的Log4j2版本不受Apache Log4j2漏洞(CVE-2021-44228)影响。

 

二、面向客户的通知

安全安全于12月9日23时,对客户发布安全预警公告(《【漏洞通告】Apache Log4j2 远程代码执行漏洞》)。同时安全第一时间关注客户的影响情况,通过短信、邮件、站内信的形式,通知全量客户关注风险,及时升级到最新版本修复漏洞,安全将持续关注漏洞进展情况,及时发布更新漏洞相关公告信息。

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

【漏洞通告】Linux Netfilter本地权限提升漏洞POC公开(CVE-2021-22555)

2021-12-10 11:36:11

安全漏洞

关于 Linux 内核本地提权漏洞的安全问题(CVE-2022-0847)影响

2022-3-8 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索