资讯专栏INFORMATION COLUMN

​基于AMP进行数据库TFA升级LOG4J漏洞补丁

IT那活儿 / 2226人阅读
​基于AMP进行数据库TFA升级LOG4J漏洞补丁

点击上方“IT那活儿”,关注后了解更多精彩内容!!

log4j漏洞介绍

1. 漏洞概述

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

2. 影响范围

漏洞利用无需特殊配置,经验证,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka、TFA 等。

漏洞修复

1. 漏洞修复整体流程

本次漏洞修复流程,通过平台通过一键方式针对所有数据库节点1进行补丁升级,然后通过日志分析所有数据库节点1是否已修复成功。
如上完成后针对所有数据库节点2补丁升级并检查日志确认是否所有节点2已修复成功。
流程图如下:

2. 漏洞一键修复

本次关于TFA的log4j漏洞修复均通过AMP平台采用编排方式进行一键修复。涉及54套数据库,共112个数据库节点。

修复步骤包括:

2.1 任务编排信息检查;
2.2 任务编排一键执行。
其中:
2.1任务编排信息检查,是核对待修复漏洞数据库主机信息是否正确,避免在非计划补丁升级数据库主机进行执行;
2.2任务编排一键执行,是通过一键方式执行任务编排,针对相关数据库节点进行漏洞修复。

3. 任务编排信息检查

点击‘运维操作’-> ‘运维配置’->‘操作管理’->‘编排’,确认编排名称后点击操作中的编辑,确认编排内容:
点击编辑的目的是检查补丁更新任务中使用的参数是否正确,参数错误可能导致未知影响.
图1

4. 编排名称及描述

确认编排名称,适用场景,标签及其描述。防止执行错误编排:
图2

5. 编排参数确认

节点资源需手动编辑,根据实际情况选择需要修复漏洞的节点保存:
图3

6. 编排任务确认

6.1 默认编排任务确认,如图4所示。如应用在3节点以上资源,除1节点外其他节点资源也一同使用2节点资源步骤:
图4
6.2 确认编排任务中操作默认参数是否正确:
任务1.1节点漏洞修复
任务2.2节点漏洞修复

7. 任务编排执行

7.1 确认脚本选择后资源节点直接保存执行。或者点击右上方返回按钮,进行脚本克隆后再重新选择资源节点使用,如图7所示:
图7
7.2 点击执行后,编排会自动执行第一步对1节点漏洞修复。待状态为执行成功后,通过点击图8对应任务名称,查看日志,确认任务是否执行成功,如图9所示:
图8
图9
7.3 确认上一步任务成功执行后,继续点执行即可执行下一步任务,进行2节点漏洞修复:
图10

漏洞修复后展示

通过AMP平台配置编排作业能完成多库多节点补丁升级、漏洞修复,减少大量人力、精力和时间。如图所示,单节点编排作业总耗时在2min左右。54套库112个节点编排作业总耗时在63min左右,每步任务执行时间在16min-47min间:
单节点数据库资源编排作业时间约2min。
52套两节点及2套4节点rac数据库编排作业时间约63min。


本 文 原 创 来 源:IT那活儿微信公众号(上海新炬王翦团队)



文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/129679.html

相关文章

  • WAF-UWAFWeb安全防护报告

    摘要:部署地域分布客户在业务部署区域的选择上也有不同,从客户业务部署地域分布来看,主要集中在国内的北京和上海,客户通常会选择购买业务部署区域的,也有客户采用多地域部署以提高业务的可用性,总体来看客户的需求集中在防御攻击防攻击以及满足合规需求。2021年UWAF累积为各个行业的客户提供了1117个域名的高质量访问服务,并提供安全防护,有效的保护了客户的数据信息与资产安全。2021年Web安全形势依然...

    ernest.wang 评论0 收藏0
  • 新近爆出的runC容器逃逸漏洞,用户如何面对?

    摘要:漏洞披露后,在第一时间发布了,用户可升级到此版本以修复该漏洞。年年底被爆出的首个严重安全漏洞,就是由联合创始人及首席架构师发现的。年月被爆出仪表盘和外部代理安全漏洞时,也是第一时间向用户响应,确保所有和的用户都完全不被漏洞影响。 runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。...

    trigkit4 评论0 收藏0
  • Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布

    摘要:今天,发布了一系列补丁版本,修复新近发现的两个安全漏洞命令安全漏洞和端口映射插件漏洞。因为端口映射插件是嵌入到版本中的,只有升级至新版本的才能解决此问题。现在修复之后,将端口映射插件的规则由最优先变为附加,则可以让流量优先由规则处理。 今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-...

    dkzwm 评论0 收藏0
  • #yyds干货盘点#安全漏洞频出,信息系统中安全防护如何有效构建?

    摘要:本次活动的主旨就是和大家共同讨论信息系统中如何有效的构建安全防护体系,如何规范安全制度,如何让制定的安全制度落地,形成有效的规范制度来保护系统安全。用来保证系统一旦出现安全事故后还有应急的解决方案。 安全漏洞频出,信息系统中安全防护如何有效构建?字数 3685阅读 1029评论 0赞 3前言:随着信息化的高速发展,越来越多...

    jubincn 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<