明道云系统内有部分服务基于 Java 语言开发,经过排查,源代码中确实包含了 log4j 的漏洞版本,但程序内并未使用 log4j 的相关方法,而是使用 logback 组件进行日志记录,所以此漏洞对明道云自身提供的服务并无影响。
但由于可能给客户带来安全隐患顾虑,现已对相关服务依赖的 log4j 升级到 V2.17.0(安全版本)。 公有云已完成各服务的升级,同时也对应发布了明道云私有部署版 V2.10.1。
另外在明道云系统内使用到了 Elasticsearch 6.6 版本,此版本存在 log4j 的漏洞问题,公有云已根据漏洞修复建议进行了调整。
私有部署(仅集群部署模式)如果使用明道云提供的 Elasticsearch 镜像包,可升级到:
registry.cn-hangzhou.aliyuncs.com/mdpublic/elasticsearch:6.6.4
如果是自主安装,则可参考以下解决方案:
1、进入 elasticsearch 程序下的 lib 目录
cd /usr/local/elasticsearch/lib
2、下载新的 jar 包
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/log4j-core-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0/log4j-api-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-1.2-api/2.16.0/log4j-1.2-api-2.16.0.jar
3、删除旧的 jar 包(6.6为例)
rm -f log4j-1.2-api-2.11.1.jar log4j-api-2.11.1.jar log4j-core-2.11.1.jar
4、重启 elasticsearch 服务
systemctl restart elasticsearch
感谢您对明道云的信任与使用
安全问题,责无旁贷
