?基于AMP進(jìn)行數(shù)據(jù)庫TFA升級(jí)LOG4J漏洞補(bǔ)丁

IT那活兒發(fā)布于2023-01-11 13:20 / 2239人閱讀

點(diǎn)擊上方“IT那活兒”，關(guān)注后了解更多精彩內(nèi)容?。?/span>

log4j漏洞介紹

1. 漏洞概述

2021年11月24日，阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。由于Apache Log4j2某些功能存在遞歸解析功能，未經(jīng)身份驗(yàn)證的攻擊者通過發(fā)送特定惡意數(shù)據(jù)包，可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

2. 影響范圍

漏洞利用無需特殊配置，經(jīng)驗(yàn)證，Apache Log4j 2.x <= 2.14.1 版本均回會(huì)受到影響?？赡艿氖苡绊憫?yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka、TFA 等。

漏洞修復(fù)

1. 漏洞修復(fù)整體流程

本次漏洞修復(fù)流程，通過平臺(tái)通過一鍵方式針對(duì)所有數(shù)據(jù)庫節(jié)點(diǎn)1進(jìn)行補(bǔ)丁升級(jí)，然后通過日志分析所有數(shù)據(jù)庫節(jié)點(diǎn)1是否已修復(fù)成功。

如上完成后針對(duì)所有數(shù)據(jù)庫節(jié)點(diǎn)2補(bǔ)丁升級(jí)并檢查日志確認(rèn)是否所有節(jié)點(diǎn)2已修復(fù)成功。

流程圖如下：

2. 漏洞一鍵修復(fù)

本次關(guān)于TFA的log4j漏洞修復(fù)均通過AMP平臺(tái)采用編排方式進(jìn)行一鍵修復(fù)。涉及54套數(shù)據(jù)庫，共112個(gè)數(shù)據(jù)庫節(jié)點(diǎn)。

修復(fù)步驟包括：

2.1 任務(wù)編排信息檢查；

2.2 任務(wù)編排一鍵執(zhí)行。

其中：

2.1任務(wù)編排信息檢查，是核對(duì)待修復(fù)漏洞數(shù)據(jù)庫主機(jī)信息是否正確，避免在非計(jì)劃補(bǔ)丁升級(jí)數(shù)據(jù)庫主機(jī)進(jìn)行執(zhí)行；

2.2任務(wù)編排一鍵執(zhí)行，是通過一鍵方式執(zhí)行任務(wù)編排，針對(duì)相關(guān)數(shù)據(jù)庫節(jié)點(diǎn)進(jìn)行漏洞修復(fù)。

3. 任務(wù)編排信息檢查

點(diǎn)擊‘運(yùn)維操作’-> ‘運(yùn)維配置’->‘操作管理’->‘編排’，確認(rèn)編排名稱后點(diǎn)擊操作中的編輯，確認(rèn)編排內(nèi)容：

點(diǎn)擊編輯的目的是檢查補(bǔ)丁更新任務(wù)中使用的參數(shù)是否正確，參數(shù)錯(cuò)誤可能導(dǎo)致未知影響.

圖1

4. 編排名稱及描述

確認(rèn)編排名稱，適用場景，標(biāo)簽及其描述。防止執(zhí)行錯(cuò)誤編排：

圖2

5. 編排參數(shù)確認(rèn)

節(jié)點(diǎn)資源需手動(dòng)編輯，根據(jù)實(shí)際情況選擇需要修復(fù)漏洞的節(jié)點(diǎn)保存：

圖3

6. 編排任務(wù)確認(rèn)

6.1 默認(rèn)編排任務(wù)確認(rèn)，如圖4所示。如應(yīng)用在3節(jié)點(diǎn)以上資源，除1節(jié)點(diǎn)外其他節(jié)點(diǎn)資源也一同使用2節(jié)點(diǎn)資源步驟：

圖4

6.2 確認(rèn)編排任務(wù)中操作默認(rèn)參數(shù)是否正確：

任務(wù)1.1節(jié)點(diǎn)漏洞修復(fù)

任務(wù)2.2節(jié)點(diǎn)漏洞修復(fù)

7. 任務(wù)編排執(zhí)行

7.1 確認(rèn)腳本選擇后資源節(jié)點(diǎn)直接保存執(zhí)行。或者點(diǎn)擊右上方返回按鈕，進(jìn)行腳本克隆后再重新選擇資源節(jié)點(diǎn)使用，如圖7所示：

圖7

7.2 點(diǎn)擊執(zhí)行后，編排會(huì)自動(dòng)執(zhí)行第一步對(duì)1節(jié)點(diǎn)漏洞修復(fù)。待狀態(tài)為執(zhí)行成功后，通過點(diǎn)擊圖8對(duì)應(yīng)任務(wù)名稱，查看日志，確認(rèn)任務(wù)是否執(zhí)行成功，如圖9所示:

圖8

圖9

7.3 確認(rèn)上一步任務(wù)成功執(zhí)行后，繼續(xù)點(diǎn)執(zhí)行即可執(zhí)行下一步任務(wù)，進(jìn)行2節(jié)點(diǎn)漏洞修復(fù)：

圖10

漏洞修復(fù)后展示

通過AMP平臺(tái)配置編排作業(yè)能完成多庫多節(jié)點(diǎn)補(bǔ)丁升級(jí)、漏洞修復(fù)，減少大量人力、精力和時(shí)間。如圖所示，單節(jié)點(diǎn)編排作業(yè)總耗時(shí)在2min左右。54套庫112個(gè)節(jié)點(diǎn)編排作業(yè)總耗時(shí)在63min左右，每步任務(wù)執(zhí)行時(shí)間在16min-47min間：