eCognition软件用户通告——eCognition软件中的Apache Log4j通讯 |
发布时间:2021-12-23 10:24:21| 浏览次数: |
Trimble公司安全团队和全球安全行业已对某些版本的 Apache(阿帕奇) Log4j 软件/工具中宣布的 CVE-2021-44228远程代码执行漏洞做出迅速反应。 Trimble公司正在执行其漏洞管理流程以评估风险并确定修复的优先级。 Trimble公司聘请了内部工程资源、第三方网络安全供应商和软件供应商。 他们不断更新数据集并推动修复,因为他们发现了基础设施和产品代码中的潜在风险。 目前,eCognition软件被认为存在以下CVE-2021-44228漏洞: 本地安装的eCognition许可服务器(eCognition License Server)文件包含可能容易受到CVE-2021-44228攻击的Java示例,这些示例不用于eCognition License Server的一般操作,该漏洞仅在手动执行示例时存在。 为谨慎起见,我们建议您通过以下任一方式删除这些示例:
方式一 删除eCognition License Server安装路径下的“examples”文件夹“<eCognition License Server Install Dir>\bin\lmadmin\examples” 对于eCognition v10.2,默认安装路径为:C:\ProgramData\Trimble\eCognition License Server 10.2 对于较老版本的eCognition软件(v10.2.0 Build 4610及以前版本):C:\Program Files\Trimble\eCognition License Server X
方式二 卸载已安装的eCognition许可服务器(eCognition License Server),并从eCognition官方下载页面 https://geospatial.trimble.com/ecognition-download安装更新版本 (v10.2.0 Build 4618),或通过百度网盘下载链接下载(链接:https://pan.baidu.com/s/1SQe-MeQCqghVTVFXMV8PFQ 提取码:h88i )eCognition License Server v10.2.0 Build 4618,该版本中的Java 示例文件夹已从安装程序中删除。
切记:在卸载eCognition许可服务器(eCognition License Server)之前,一定要先归还所有已激活的许可!!!
如果在上述操作有问题,请及时联系Bwin必赢人员进行相关操作指导。
附:Apache Log4j介绍
Log4j是Apache的一个开放源代码项目,通过使用Log4j,用户可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;用户也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,用户能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。 1. 漏洞概述 12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。 12月10日,绿盟科技CERT发现Apache Log4j 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理。 12月12日,官方又发布了Apache Log4j 2.15.1-rc1版本,在默认配置中禁用了JNDI和Message lookups功能。 12月13日,官方再发布了Apache Log4j 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能。 12月14日,官方发布通告,披露Apache Log4j 1.2.x版本在特定配置时存在JMSAppender 反序列化代码执行漏洞(CVE-2021-4104),当攻击者具有修改 Log4j 配置的权限时,JMSAppender 容易受到不可信数据的反序列化,攻击者可以使用特定配置利用 JMSAppender 执行 JNDI 请求,从而造成远程代码执行。 12月14日,官方发布了Apache Log4j 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7。 12月15日,官方发布通告,披露Apache Log4j的DoS漏洞(CVE-2021-45046),当log4j配置使用非默认模式布局和上下文查找(例如$${ctx:loginId})或线程上下文映射模式(%X、%mdc或%MDC)时,使用JNDI查找模式制作恶意输入数据从而导致拒绝服务(DoS) 攻击。Apache Log4j 2.15.0版本中针对CVE-2021-44228的漏洞修复方式不完善,在特定配置时受此漏洞影响。 2. 影响范围 受影响版本: CVE-2021-44228: l 2.0-beta9 <= Apache Log4j <= 2.12.1 l 2.13.0<= Apache Log4j <= 2.15.0-rc1 CVE-2021-45046: l 2.0-beta9 <= Apache Log4j <= 2.12.1 l 2.13.0<= Apache Log4j <= 2.15.0-rc2(2.15.0稳定版) 注:只有 log4j-core jar文件受此漏洞影响。 CVE-2021-4104: l Apache Log4j =1.2.x
Bwin必赢作为天宝公司Inpho中国区授权代理商、eCognition软件中国区授权代理商和政府解决方案及规则集开发商、美国Maxar卫星数据代理商,能够为广大用户提供从数据获取、处理与解译分析到最终成果的“一站式”应用解决方案。 更多资讯,可关注微信公众号,或登录Bwin必赢公司官网:http://www.mapcore.com.cn/ 联系电话:010-62908360
|
上一篇:Trimble Inpho v12.1.0版本更新说明 下一篇:Inpho软件应用实战技术之十八—Inpho生产热红外数据 |