谐云DevOps产品可信源管理从容应对Apache Log4j2高危漏洞


2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),攻击者利用该漏洞,可在未授权的情况下远程执行代码。Log4j作为目前最优秀的Java日志记录工具框架之一,被大量用于业务系统开发,影响面极为广泛。

1.png


产品介绍

可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线,维护应用依赖版本库,当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞,在流水线运行过程中对使用到的依赖包做扫描校验,在申请发布前的对发布版本做扫描拦截,扫描范围包括漏洞、基线、可信源匹配,可信源冲突、门禁。在代码合并前经过多人审批,并设置分支保护权限,从而规避相应风险,提高安全等级。

建立可信漏洞库

定期从中央漏洞库拉取漏洞导入系统,支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析,查看漏洞的关联应用血缘和可信源血缘,并发送预警通知。

2.jpg


(漏洞管理-列表)
2021年12月10日,Log4j漏洞发布后可信源产品捕获该漏洞,平台管理员可以设置漏洞解决方案并且为相关应用责任人创建工单。

3.jpg


(漏洞管理-漏洞详情)

漏洞血缘关系,火眼金睛让高危项目无处遁形

平台可以维护可信源依赖的版本库,包含可信源相关的所有依赖的版本。当漏洞到来时候可以系统可将漏洞影响的所有可信源版本关联出来。

4.jpg


(漏洞管理-可信源血缘)
平台维护每个应用的依赖的版本库,包含线上基线版本。当漏洞到来时候可以系统可将漏洞影响的所有所有版本关联出来,管理员针对受影响应用可一键发起工单,通知对应应用研发团队处理。

5.jpg


(漏洞管理-应用可信源)

源码级扫描,源头阻断高危依赖包上线

在应用发布的流水线上,通过配置获取应用依赖 流程节点,可分析Java应用依赖并记录在可信源数据库中,可以配置可信源扫描流水线环节,包括黑名单扫描、漏洞门禁扫、可信源基线扫描、可信源匹配扫描、可信源冲突扫描、可信源依赖差异扫描,进行应用全方位的依赖安全分析。

6.jpg


(流水线配置)
流水线执行后可查看可信源分析报告,如下图对应Log4j的依赖已发现在报告中。

7.jpg


(流水线检查报告)
对于应用生产发布需要提交发布申请,发布申请会进行必要的申请审核,当有高危依赖漏洞时,无法发布生产环节,从源头阻断漏洞的上线。

8.jpg


(工单-检查项)

修复方式

临时修复建议:选择任意一种方式即可
杜绝外网访问
jvm参数 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

通用修复建议:
使用 log4j2 最新安全版本:
https://github.com/apache/logg ... 0-rc2
首图.png

0 个评论

要回复文章请先登录注册