关于 Log4j 漏洞的公告

明道云系统内有部分服务基于 Java 语言开发,经过排查,源代码中确实包含了 log4j 的漏洞版本,但程序内并未使用 log4j 的相关方法,而是使用 logback 组件进行日志记录,所以此漏洞对明道云自身提供的服务并无影响。

但由于可能给客户带来安全隐患顾虑,现已对相关服务依赖的 log4j 升级到 V2.17.0(安全版本)。 公有云已完成各服务的升级,同时也对应发布了明道云私有部署版 V2.10.1。

另外在明道云系统内使用到了 Elasticsearch 6.6 版本,此版本存在 log4j 的漏洞问题,公有云已根据漏洞修复建议进行了调整。

私有部署(仅集群部署模式)如果使用明道云提供的 Elasticsearch 镜像包,可升级到:

registry.cn-hangzhou.aliyuncs.com/mdpublic/elasticsearch:6.6.4

如果是自主安装,则可参考以下解决方案:

1、进入 elasticsearch 程序下的 lib 目录

cd /usr/local/elasticsearch/lib

2、下载新的 jar 包

curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/log4j-core-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0/log4j-api-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-1.2-api/2.16.0/log4j-1.2-api-2.16.0.jar

3、删除旧的 jar 包(6.6为例)

rm -f log4j-1.2-api-2.11.1.jar log4j-api-2.11.1.jar log4j-core-2.11.1.jar

4、重启 elasticsearch 服务

systemctl restart elasticsearch

 

感谢您对明道云的信任与使用

安全问题,责无旁贷

关于明道云

明道云(www.mingdao.com)成立于2013年,位于上海,创始人为互联网知名人士任向晖先生。明道云是一个APaaS平台,帮助企业快速搭建个性化业务应用。用户不需要代码开发就能够搭建出用户体验上佳的销售、运营、人事、采购等核心业务应用,打通企业内部数据,也能够通过API和Webhook和其他系统对接。

明道云的自动化工作流还可以实现审批、填写等控制流程和业务自动化。如果用户企业使用钉钉或企业微信,也可以将明道云搭建的应用直接对接到工作台上。

明道云可以帮助企业大大节省软件费用、降低定制开发的成本和时间,拥有一个极度灵活和易用的数据中台,并提高整体数字化和智能化水平。目前已有上百万用户使用,付费企业超过4000家,典型客户包括:中铁三局、佛山地铁、普华永道、艾瑞咨询、迪卡侬、北京大学、四川航空、上海静安区街道、艾默生电子、西门子、杭州建筑设计研究院、七天四季酒店、希尔顿、凯宾斯基酒店、可口可乐等知名机构。