关于 Log4j 漏洞的公告

明道云系统内有部分服务基于 Java 语言开发，经过排查，源代码中确实包含了 log4j 的漏洞版本，但程序内并未使用 log4j 的相关方法，而是使用 logback 组件进行日志记录，所以此漏洞对明道云自身提供的服务并无影响。

但由于可能给客户带来安全隐患顾虑，现已对相关服务依赖的 log4j 升级到 V2.17.0（安全版本）。公有云已完成各服务的升级，同时也对应发布了明道云私有部署版 V2.10.1。

另外在明道云系统内使用到了 Elasticsearch 6.6 版本，此版本存在 log4j 的漏洞问题，公有云已根据漏洞修复建议进行了调整。

私有部署（仅集群部署模式）如果使用明道云提供的 Elasticsearch 镜像包，可升级到：

registry.cn-hangzhou.aliyuncs.com/mdpublic/elasticsearch:6.6.4

如果是自主安装，则可参考以下解决方案：

1、进入 elasticsearch 程序下的 lib 目录

cd /usr/local/elasticsearch/lib

2、下载新的 jar 包

curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/log4j-core-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.16.0/log4j-api-2.16.0.jar
curl -O https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-1.2-api/2.16.0/log4j-1.2-api-2.16.0.jar

3、删除旧的 jar 包（6.6为例）

rm -f log4j-1.2-api-2.11.1.jar log4j-api-2.11.1.jar log4j-core-2.11.1.jar

4、重启 elasticsearch 服务

systemctl restart elasticsearch

感谢您对明道云的信任与使用

安全问题，责无旁贷

明道云是一个创新的超级应用平台，可以帮助用户零代码构建企业应用，用户不需要代码开发就能够搭建出用户体验上佳的销售、运营、人事、采购等核心业务应用，打通企业内部数据。明道云还具备超自动化引擎，可以全面自动化复杂和重复的业务流程。运用明道云的集成中心与完整的API对接能力，用户可以轻松地将明道云与外部系统集成。除此之外，明道云超级应用平台还具备很高的可组合性，国际化支持，并支持云原生架构，实现了多云部署能力。通过插件架构，明道云正在逐步建立起繁荣的实施与开发生态。

明道云可以帮助企业大大节省软件费用、降低定制开发的成本和时间，拥有一个极度灵活和易用的数字化平台，是企业数字化建设的重要工具。目前已有上百万用户使用，付费企业超过4000家，包括可口可乐、复星集团、中国移动、中国联通、中国电信、中铁集团、北京地铁、佛山铁路、华夏银行、民生银行、迪卡侬、艾默生电气、泰科电子、四川航空、东方证券、万豪酒店、洲际酒店等知名客户。

2021年5月，明道云获得海纳亚洲近亿元投资。公司目前有超过130名员工，产品研发团队过半，总部位于上海漕河泾开发区，在北京、广州、深圳、成都、郑州、武汉、西安和宁波设有分支机构。公司为高新技术企业，上海市专新特精认定企业。

相似文章推荐

明道云技术路径选择及与LCDP的比较 2023 年 4 月 6 日
明道云在APaaS细分市场中的领先性详解和实证 2023 年 5 月 17 日

关于明道云