Apache 是什么？

近日一则新闻在科技圈刷屏，Apache Log4j 被曝出高危漏洞，几乎所有行业都受到该漏洞影响，包括全球多家知名科技公司、电商网站等，漏洞波及面和危害程度均堪比 2017 年的“永恒之蓝”漏洞。

Apache ，是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，是最流行的 Web 服务器端软件之一。

Apache Log4j2 是 Apache 的开源项目，用于 Java 的日志记录库，支持远程启动日志服务器。该工具重写了 Log4j 框架，并且引入了大量丰富的特性，可以控制日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息。

目前发现 Log4j-2 中存在 JNDI 注入漏洞，当程序将用户输入的数据被日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90% 以上基于 java 开发的应用平台都会受到影响。

 

轻流如何应对？

12月9日，Apache Log4j2 安全漏洞大规模暴露，网络中出现了利用此漏洞的攻击行为。轻流安全团队第一时间识别潜在风险，即刻启动安全应急响应，统一协调开发、测试、安全、运维、售后资源；12月10日上午形成完备的应对方案，下午13:00开始有序安排系统更新维护。

 

轻流的安全能力？

目前，轻流已支持访问控制、安全认证、数据安全、服务安全等安全防护，为企业数字化系统提供多层安全保障。同时，轻流已通过 SOC2、ISO27001 认证等多项安全资质，并在2021年11月被授予信息系统安全等级保护三级，信息安全管理达到国际权威标准。

 

精益求精，未雨绸缪；快速响应，使命必达。

轻流基于长期积累的安全能力与技术能力，在发现漏洞的第一时间快速组织应对小组，发布安全预警、采取防护措施、进行安全维护，致力于保障企业用户的系统稳定与信息安全。对于本次事件，轻流将持续关注并积极应对，尽力降低本次全球性安全漏洞事件对企业客户带来的业务影响。

未来，轻流将继续践行「技术赋能业务」的使命，不断提升安全防护能力，为企业的数字化转型保驾护航。

点击上方按钮，注册即可免费试用