關于防范 近期出現的高危網絡安全漏洞 （Apache Log4j任意代碼執行漏洞） 的函

來源：湖北國菱計算機科技有限公司-湖北國聯計算機科技有限公司-荊州網站建設-荊州軟件開發-政府網站建設公司 時間：2021-12-10

致尊敬的客戶單位：

湖北國菱計算機科技有限公司團隊于2021年12月10日上午監測到“ApacheLog4j任意代碼執行漏洞”，迅速組織應急響應工作專班進行漏洞風險評估和排查工作。目前，該漏洞已由阿里安全中心、深信服、天融信、奇安信等多家國內權威網絡安全機構核實，Apache Log4j項目組已在官方網站確認該漏洞。

漏洞描述

Apache Log4j

Apache Log4j 是 Apache 的一個開源項目，Apache log4j2 是 Log4j 的升級版本，我們可以控制日志信息輸送的目的地為控制臺、文件、GUI 組件等，通過定義每一條日志信息的級別，能夠更加細致地控制日志的生成過程。

漏洞原理簡述

經過分析，該組件存在 Java JNDI 注入漏洞，當程序將用戶輸入的數據進行日志，即可觸發此漏洞，成功利用此漏洞可以在目標服務器上執行任意代碼。

影響范圍

由于Apache Log4j是Java開發領域應用非常之廣泛的一個組件，目前已確認可能的受影響應用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等，幾乎涵蓋了所有主流應用軟件。

由于該漏洞原理簡單，極其容易被利用，且影響面廣泛，我們有理由相信在未來一段時間內會爆發眾多利用該漏洞進行危害網絡安全的事件，請務必引起重視！

風險防范建議

我公司應急響應專班已第一時間確認，我公司研發的所有產品未使用Apache Log4j，不在上述漏洞的影響范圍內。

貴單位使用的其他由我公司維護的受影響產品，我公司已第一時間會同軟件開發商、云計算中心，一方面通過可靠的緩解措施避免該漏洞被利用，另一方面已積極組織技術團隊與軟件開發商共同開發針對該漏洞風險的更新補丁，我公司應急響應專班會持續關注漏洞影響范圍發展，及時封堵相關漏洞風險。

由于貴單位可能存在其他不在我公司開發或維護范圍內的軟件產品，我們建議如下：

1.  安排負責工作人員積極聯系軟件開發商確認是否存在該漏洞風險；

2.  對于確認存在該漏洞風險軟件產品，積極敦促軟件開發商提供更新補丁，盡快封堵該安全漏洞；

3.  如無法及時聯系到原軟件開發商，或原軟件開發商無法及時給出更新補丁和解決方案，請安排負責工作人員及時與我公司聯系，我們將積極配合處理該漏洞相關事宜，以切實避免網絡安全事件的發生。

湖北國菱計算機科技有限公司

2021年12月10日