导语

12 月 9 日晚间，Apache Log4j 2 发现了远程代码执行漏洞，恶意使用者可以通过该漏洞在目标服务器上执行任意代码，危害极大。

腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中，CODING 制品扫描基于该漏洞特征库，对引用了受影响版本的 Log4j 2 制品进行了精准定位，并给出修复建议，同时可禁止下载含有该安全漏洞的制品，最大限度的减少漏洞蔓延。

Apache Log4j 2 漏洞详情

Apache Log4j 2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架，并且引入了丰富的特性，作为日志记录基础第三方库，被大量 Java 框架及应用使用。

此次漏洞是由于 Log4j 2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生，当程序将用户输入的数据进行日志记录时，即可触发此漏洞。

漏洞详情：

Log4j 2 的使用极为广泛，可能受影响的应用及组件（包括但不限于）：Apache Solr 、Apache Flink 、Apache Druid 、Apache Struts2 、Srping-boot-strater-log4j2 、ElasticSearch 、Flume 、Dubbo 、Redis 、Logstash 、Kafka 。

使用 CODING 制品扫描，快速识别受影响制品

CODING 制品扫描已经识别到该漏洞，可以在制品管理 - 制品扫描模块创建「安全漏洞扫描方案」，对相关 Maven 包进行安全扫描。在 CODING DevOps 线上版本中可直接对该漏洞进行排查，私有化的 CODING DevOps 及 WePack 客户请联系客户经理咨询升级。

扫描结束后，可以看到最新的中文漏洞信息。该漏洞的危险等级被腾讯安全定义为「危急」，同时该漏洞使用广泛，利用门槛低，被标记为「优先关注漏洞」，在漏洞详情中，我们建议用户尽快修复至「 2.15.0-rc2 」版本，将此依赖升级后，即可规避漏洞影响。

同时，可通过“禁止下载未通过质量红线的制品”的管控方式，以避免日后产品更新引入该风险。

如何修复漏洞

升级 ApacheLog4j 所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

（ 2.15.0-rc1 版，经腾讯安全专家验证可以被绕过）

补丁下载地址： https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

漏洞缓解措施：

1. jvm 参数 - Dlog4j2.formatMsgNoLookups=true

2. log4j2.formatMsgNoLookups=True

获取补丁后重新打包，可将依赖 jar 包上传至 CODING 制品仓库，并修改制品依赖配置，推送新版本。

重新扫描后，可以看到制品已通过扫描。

强强联手，共同保卫客户软件安全

CODING 与腾讯安全及其科恩实验室、云鼎实验室携手，共同保卫客户软件安全。

可信漏洞特征库

「腾讯安全开源组件漏洞特征库」是腾讯基于自身安全研究与国内外通用开源漏洞库信息搭建的漏洞特征库，由专业安全团队持续运营，为用户提供准确、及时、易懂的安全信息。

完善的流程管控

在软件生产过程中，进入 CODING 制品库的制品会受到 CODING 制品扫描能力的监管。CODING 会对制品进行依赖分析，解析出制品引用的开源组件，再通过「腾讯安全开源组件漏洞特征库」识别出制品引用的开源组件存在的漏洞，输出漏洞报告，通过预设的质量红线判断制品扫描通过情况，展示在制品详情中。

同时，腾讯安全专家根据漏洞静态威胁等级（ CVSS ）和动态风险等级（漏洞当前是否有公开利用 POC ）筛选出需优先关注的漏洞，在扫描结果中进行优先度提示，协助客户优先处理危急问题。

持续的风险制品管理

制品扫描方案可以设置禁止下载没有通过安全扫描的制品，以此避免存在安全隐患的制品被团队成员继续引用或发布，实现对漏洞风险的持续管控。

在漏洞、数据安全问题频发的当下，为了给客户提供更可靠的服务体验，CODING 在投入软件开发过程提效的同时，也持续关注软件开发过程安全和软件资产安全，致力于为企业用户提供更高效、更可靠、更安全的云上研发工作流。

在未来，CODING 也将持续关注软件的安全生产，保持与腾讯安全团队的紧密合作，在制品管理环节提供更精确的依赖分析能力、License 扫描能力，协助客户全面建设 DevSecOps 能力，将安全管控左移，降低软件生产风险。

联系 CODING 顾问，获得 DevSecOps 解决方案