关于防范 近期出现的高危网络安全漏洞 （Apache Log4j任意代码执行漏洞） 的函

来源：湖北国菱计算机科技有限公司-湖北国联计算机科技有限公司-荆州网站建设-荆州软件开发-政府网站建设公司 时间：2021-12-10

致尊敬的客户单位：

湖北国菱计算机科技有限公司团队于2021年12月10日上午监测到“ApacheLog4j任意代码执行漏洞”，迅速组织应急响应工作专班进行漏洞风险评估和排查工作。目前，该漏洞已由阿里安全中心、深信服、天融信、奇安信等多家国内权威网络安全机构核实，Apache Log4j项目组已在官方网站确认该漏洞。

漏洞描述

Apache Log4j

Apache Log4j 是 Apache 的一个开源项目，Apache log4j2 是 Log4j 的升级版本，我们可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

漏洞原理简述

经过分析，该组件存在 Java JNDI 注入漏洞，当程序将用户输入的数据进行日志，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

影响范围

由于Apache Log4j是Java开发领域应用非常之广泛的一个组件，目前已确认可能的受影响应用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka等，几乎涵盖了所有主流应用软件。

由于该漏洞原理简单，极其容易被利用，且影响面广泛，我们有理由相信在未来一段时间内会爆发众多利用该漏洞进行危害网络安全的事件，请务必引起重视！

风险防范建议

我公司应急响应专班已第一时间确认，我公司研发的所有产品未使用Apache Log4j，不在上述漏洞的影响范围内。

贵单位使用的其他由我公司维护的受影响产品，我公司已第一时间会同软件开发商、云计算中心，一方面通过可靠的缓解措施避免该漏洞被利用，另一方面已积极组织技术团队与软件开发商共同开发针对该漏洞风险的更新补丁，我公司应急响应专班会持续关注漏洞影响范围发展，及时封堵相关漏洞风险。

由于贵单位可能存在其他不在我公司开发或维护范围内的软件产品，我们建议如下：

1.  安排负责工作人员积极联系软件开发商确认是否存在该漏洞风险；

2.  对于确认存在该漏洞风险软件产品，积极敦促软件开发商提供更新补丁，尽快封堵该安全漏洞；

3.  如无法及时联系到原软件开发商，或原软件开发商无法及时给出更新补丁和解决方案，请安排负责工作人员及时与我公司联系，我们将积极配合处理该漏洞相关事宜，以切实避免网络安全事件的发生。

湖北国菱计算机科技有限公司

2021年12月10日