关于 Log4j 漏洞的公告

明道云系统内有部分服务基于 Java 语言开发,经过排查,源代码中确实包含了 log4j 的漏洞版本,但程序内并未使用 log4j 的相关方法,而是使用 logback 组件进行日志记录,所以此漏洞对明道云自身提供的服务并无影响。

但由于可能给客户带来安全隐患顾虑,现已对相关服务依赖的 log4j 升级到 V2.17.0(安全版本)。 公有云已完成各服务的升级,同时也对应发布了明道云私有部署版 V2.10.1。

另外在明道云系统内使用到了 Elasticsearch 6.6 版本,此版本存在 log4j 的漏洞问题,公有云已根据漏洞修复建议进行了调整。

私有部署(仅集群部署模式)如果使用明道云提供的 Elasticsearch 镜像包,可升级到:

registry.cn-hangzhou.aliyuncs.com/mdpublic/elasticsearch:6.6.4

如果是自主安装,则可参考以下解决方案:

1、进入 elasticsearch 程序下的 lib 目录

cd /usr/local/elasticsearch/lib

2、下载新的 jar 包

curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/log4j-core-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0/log4j-api-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-1.2-api/2.16.0/log4j-1.2-api-2.16.0.jar

3、删除旧的 jar 包(6.6为例)

rm -f log4j-1.2-api-2.11.1.jar log4j-api-2.11.1.jar log4j-core-2.11.1.jar

4、重启 elasticsearch 服务

systemctl restart elasticsearch

 

感谢您对明道云的信任与使用

安全问题,责无旁贷

关于HAP

HAP(Hyper Application Platform)超级应用平台可以帮助用户零代码构建企业应用,用户不需要代码开发就能够搭建出用户体验上佳的销售、运营、人事、采购等核心业务应用,打通企业内部数据。HAP还具备超自动化引擎,可以全面自动化复杂和重复的业务流程。运用HAP的集成中心与完整的API对接能力,用户可以轻松地将HAP与外部系统集成。除此之外,HAP还具备很高的可组合性,国际化支持,并支持云原生架构,实现了多云部署能力。通过插件架构,HAP正在逐步建立起繁荣的实施与开发生态。

HAP可以帮助企业大大节省软件费用、降低定制开发的成本和时间,拥有一个极度灵活和易用的数字化平台,是企业数字化建设的重要工具。目前已有上百万用户使用,付费企业超过4000家,包括可口可乐、复星集团、广汽本田、赛力斯汽车、中国移动、中石化、中铁集团、银鹭食品、民生银行、迪卡侬、艾默生电气、泰科电子、四川航空、东方证券、洲际酒店、科大讯飞、柳工集团、沃尔玛、中国烟草、三菱银行等知名客户。

2021年5月,明道云获得海纳亚洲近亿元投资。公司目前有超过130名员工,产品研发团队过半,总部位于上海漕河泾开发区,在北京、广州、深圳、成都、郑州、武汉、西安和宁波设有分支机构。公司为高新技术企业,上海市专新特精认定企业。