简介简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)包括Apache Log4J2远程代码执行漏洞(CNVD-20121-95914)。此漏洞是一种基于Java的记录工具,是对log4j的升级。作为最好的Java日志框架之一,它用于大量业务系统开发。
脆弱性信息
早在2021年11月24日,阿里巴巴云安全团队就报告了漏洞。为了帮助每个人更快地识别漏洞并避免潜在的攻击,云效率技术团队为漏洞提供了处理计划。
阿里巴巴Yunyun效应代码管理平台的“因软件包漏洞测试”支持源代码级别的相关软件包的真实时间扫描风险,并提供漏洞修复方案。
这次log4j被定义为在阻滞剂级别上的高风险漏洞。强烈建议尽快升级和维修:
代码库管理员进入仓库设置 - 融合,服务打开“依赖的软件包漏洞测试”。请注意,Java代码需要检查“设置Java检测参数”:
打开后,默认分支将自动启动检测并等待检测完成。您可以检查分支代码检测的详细信息。在测试报告中,提供了漏洞说明和维修方案:
由于漏洞库的真实时间更新,在历史记录中扫描的代码库需要积极切换或提交代码以触发最新的扫描。
根据测试建议,将APACHE LOG4J相关的依赖版本修改为最新的Log4J-2.15.0。
自动维修漏洞
修复漏洞:
扩展问题详细信息,单击“创建合并复活的自动修理”按钮,该按钮将自动生成合并请求。在进行手动审查和确认后,您可以单击合并以自动修复漏洞:
查看文件差异,您可以看到合并请求已自动将log4j升级为pom.xml中的log4j,以升级到推荐的安全版本:
人工确认后,单击合并。代码组合更改将自动重新触发代码检测服务。查看检测结果可以确认已修复和解决该漏洞:
Apache log4j2开源依赖关系软件包漏洞听起来为每个人。作为最重要的数字资产之一,该公司的代码可能面临各种安全风险。在解决这个单一问题问题时,企业和开发人员需要考虑如何更全面地确保其代码数据安全性。
Alibaba Yunyun效应代码管理平台Codeup提供丰富的安全服务,并确保在访问安全性,信誉,审计风险控制,存储安全性方面的各个方向上的公司代码资产的安全性。如果您开始关注安全性,则可能希望立即开始探索。
资料来源:阿里巴巴云