1. 修復(fù)的CVE

• CVE-2021-44228

描述：Java日志庫Apache Log4j2組件中存在遠程代碼執(zhí)行漏洞。該漏洞是由于Apache Log4j2部分功能存在遞歸解析功能，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)進行遠程代碼執(zhí)行攻擊，最終獲取服務(wù)器最高權(quán)限。

需要說明的是，在系統(tǒng)安裝了Log4j組件包，且版本在受影響區(qū)間范圍內(nèi)，同時也使用該組件進行了日志的讀寫操作的情況下，才可能受該漏洞影響。場景說明如下：

1）安裝了Log4j組件包。

2）安裝的Log4j組件包版本在受影響區(qū)間范圍內(nèi)。

3）有應(yīng)用服務(wù)調(diào)用了此Log4j組件包進行了日志的讀寫操作。

2. 影響的產(chǎn)品

3. 影響的操作系統(tǒng)及修復(fù)版本

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

log4j-2.13.2-2.ky10

log4j-bom-2.13.2-2.ky10

log4j-help-2.13.2-2.ky10

log4j-jcl-2.13.2-2.ky10

log4j-jmx-gui-2.13.2-2.ky10

log4j-nosql-2.13.2-2.ky10

log4j-slf4j -2.13.2-2.ky10

log4j-taglib-2.13.2-2.ky10

log4j-web-2.13.2-2.ky10

4. 受影響的軟件包

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64: log4j、log4j-bom、log4j-help、log4j-jcl、 log4j-jmx-gui、log4j-nosql、log4j-slf4j、 log4j-taglib、log4j-web

x86_64:log4j、log4j-bom、log4j-help、log4j-jcl

log4j-jmx-gui、log4j-nosql、log4j-slf4j、 log4j-taglib、log4j-web

5. 緊急緩解措施

a）配置文件方式關(guān)閉（推薦） 

在應(yīng)用程序的classpath中的 log4j2.component.properties 配置文件（如果沒有文件，則手工新建）中添加如下兩行內(nèi)容（>=2.9.1以及之后版本）

log4j2.formatMsgNoLookups=True

log4j.formatMsgNoLookups=True

b）jvm參數(shù)配置關(guān)閉（不推薦，容易丟失配置） 

在 JVM 啟動參數(shù)中加上 -Dlog4j2.formatMsgNoLookups=true 和 -Dlog4j.formatMsgNoLookups=true （對于2.0~2.10版本，應(yīng)先升級至2.10+，再增加jvm參數(shù)）

6. 修復(fù)方法

方法一：配置源進行升級安裝

1.打開軟件包源配置文件，根據(jù)倉庫地址進行修改。

倉庫源地址：

銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/

x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/

2.配置完成后執(zhí)行更新命令進行升級，命令如下：yum update Packagename

方法二：下載安裝包進行升級安裝

通過軟件包地址下載軟件包，使用軟件包升級命令根據(jù)受影響的軟件包列表進行升級安裝,命令如下：yum install Packagename

7. 軟件包下載地址

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

  log4j aarch64軟件包下載地址:

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-bom-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-help-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-jcl-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-jmx-gui-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-nosql-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-slf4j-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-taglib-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/log4j-web-2.13.2-2.ky10.noarch.rpm

 log4j x86_64軟件包下載地址:

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-bom-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-help-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-jcl-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-jmx-gui-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-nosql-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-slf4j-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-taglib-2.13.2-2.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/log4j-web-2.13.2-2.ky10.noarch.rpm

注：其他相關(guān)依賴包請到相同目錄下載