Log4j 是Apache基金会管理的开源软件模块,目前被应用于绝大多数IT系统,因此目前其暴出的漏洞,几乎影响了所有Java开发的IT系统,也备受大家关注。易智瑞信息技术有限公司也紧急针对该漏洞进行研究测试,具体情况及建议如下。
目前 Log4j 主要的漏洞有:
CVE-2021-44228 –Log4J 2.x JNDILookup RCE fix1
CVE-2021-45046–Log4j 2.x JNDILookup fix2
CVE- 2021-4104 –Log4j 1.2 JMSApender
CVE-2021-45105 –Log4j 2.x Context Lookups DoS
经易智瑞公司分析检查,GeoScene Enterprise产品有部分组件中包含了易受攻击的 log4j 库,但是对于任何版本的GeoScene Enterprise(包括GeoScene Server、GeoScene Portal和GeoScene Data Store)或独立的GeoScene Server,均不存在任何已知的漏洞攻击渠道。
但出于谨慎考虑,易智瑞公司发布了Log4Shell修复脚本,强烈建议GeoScene的用户将其应用于各个版本的GeoScene Enterprise的安装机器上。这些脚本删除了JndiLookup类,这个解决方案是Apache官方推荐的并且是唯一一个不需要更新Log4j版本的漏洞修复措施。此脚本针对CVE-2021-44228和CVE-2021-45046。 单独的详细说明和脚本请根据产品查看下面链接:
•
GeoScene Server –GeoScene GIS Server, GeoScene GeoAnalytics Server, 和GeoScene Image Server
•
GeoScene Portal
•
GeoScene Data Store
注意:
- 在应用修复脚本之后,虽然您仍然会在这些系统上看到易受攻击的 Log4j 版本号,但是易受攻击的代码已被删除。
- 基础 GeoScene Enterprise组件不使用带有Log4j 1.2的JMSApender,不会因此受到CVE-2021-4104的攻击。
- 针对 Log4j 的CVE-2021-45105对GeoScene Portal、GeoScene Server和GeoScene Data Store潜在影响,易智瑞公司评估后确定这些软件组件未使用攻击者利用该漏洞所需的模式,不会因此受到CVE-2021-45105的攻击。
- GeoScene Web Adaptor 不使用Log4j core,不会因此受到攻击。
- 除这些脚本外,我们将会陆续推出受影响软件组件的补丁。
- 强烈建议客户立刻使用上述提供的脚本,而不是等待补丁的推出。
