简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。
漏洞信息
早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
源码级扫描,将风险及时扼杀
阿里云云效代码管理平台 Codeup 的「依赖包漏洞检测」支持在源码层面实时扫描依赖包风险,并提供漏洞修复方案,可针对企业代码库自动扫描漏洞并快速报出,避免人工肉眼排查可能造成的风险遗漏。
本次 Log4j 已被定义为 Blocker 级别高危漏洞,强烈建议尽快升级修复:
如何使用检测
代码库管理员进入仓库设置-集成与服务中开启「依赖包漏洞检测」,请注意 Java 代码需要勾选「设置 Java 检测参数」:
开启后默认分支将自动开始执行检测,等待检测完成,可查看分支代码检测详情,在检测报告中提供了漏洞说明与修复方案建议:
由于漏洞库实时更新,历史已开启扫描的代码库需要主动开关或提交代码以触发执行一次最新扫描。
如何修复漏洞
依据检测建议,修改 Apache Log4j 相关依赖版本至最新的 Log4j-2.15.0 。
自动修复漏洞
手动依次更新依赖文件非常繁琐,云效代码管理平台 Codeup 还提供了智能化的漏洞自动修复能力,当检测出存在该安全漏洞时,在「安全」问题列表页面将提供黄色标识,支持一键自动修复漏洞:
展开问题详情,点击「创建合并请求自动修复」按钮将自动生成一个合并请求,人工审核确认后可一键合并,自动修复漏洞:
查看文件差异可以看到该合并请求已自动将代码 pom.xml 中的 Log4j 依赖版本升级到建议的安全版本:
人工确认后点击合并,代码合并变更将自动重新触发代码检测服务,查看检测结果可确认漏洞已修复解决:
极致的云端代码托管保护
本次 Apache Log4j2 开源依赖包漏洞为所有人敲响警钟,企业的代码作为最重要的数字资产之一,很可能正面临着各种安全风险。企业和开发者在解决这个单点问题的同时,还需要思考如何更全面的保障自己的代码数据安全。
阿里云云效代码管理平台 Codeup 提供了丰富的安全服务,在访问安全、数据可信、审计风控、存储安全等角度全方位保障企业代码资产安全,如果你开始重视安全这件事,不妨立即前往云效 Codeup 开始探索。
本文为阿里云原创内容,未经允许不得转载。## 最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
3753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
