安全公告

阿里云产品关于 Log4j2漏洞(CVE-2021-44228)的影响声明

Dec 23, 2021

更新时间:2021年12月19日星期日

阿里云已关注到关于 Apache “Log4j2”的安全问题(CVE-2021-44228),并已第一时间启动安全风险的治理。阿里云会持续监控此问题的更新,保障与Log4j2相关的云产品及云服务的安全性,让广大用户放心使用。

阿里云强烈建议客户关注 Log4j2 相关应用和系统的更新,及时更新组件至最新版本,或使用相关应用、系统的自动更新机制。如果您需要更多详细信息或帮助,请联系 阿里云客服 咨询。

一、云产品自身修复进展

云服务器 ECS
阿里云ECS默认官方镜像以及Alibaba Cloud Linux中提供的 Log4j 版本为1.2.17,不受Apache Log4j2漏洞(CVE-2021-44228)影响。


关系型数据库 RDS
阿里云RDS MYSQL/PostgreSQL/SQL Server 产品实例未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

弹性公网IP
阿里云EIP产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

MaxCompute
MaxCompute产品整体服务自身不受此漏洞的影响。 经排查内部个别非服务性组件存在对Log4j2的依赖,MaxCompute产品已于2021年12月15日完成中国区域版本的修复,海外区域正在部署版本升级中。MaxCompute产品默认提供安全的UDF(用户自定义函数)隔离机制,默认禁止UDF对外部网络的访问,UDF自身受Log4j2安全漏洞的风险可控。对于已开通UDF访问外部网络功能且使用了Log4j2的用户,我们建议您尽快升级UDF中的 Log4j2 到最新版本。

负载均衡 SLB
阿里云负载均衡产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

容器服务ACK
阿里云容器服务 ACK产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

SSL证书
阿里云SSL证书产品不受Apache Log4j2漏洞(CVE-2021-44228)影响。

CDN
阿里云CDN产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

对象存储 OSS
阿里云OSS对外服务未使用Apache Log4j2组件,不受此次CVE-2021-44228 影响。

弹性容器实例 ECI
阿里云ECI默认不提供JAVA环境组件,不受Apache Log4j2漏洞(CVE-2021-44228) 影响。

访问控制 RAM
阿里云RAM对外服务未使用Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

日志服务 SLS
经排查,阿里云SLS产品未使用受影响的Apache Log4j2组件,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

容器镜像服务 ACR
阿里云容器镜像服务ACR未使用Log4j2,不受Apache Log4j2漏洞(CVE-2021-44228)影响。

DataWorks
针对 Apache Log4j2(CVE-2021-44228)问题,Dataworks产品于 2021 年 12 月 14日完成了公有云产品的缓解措施部署,正在积极更新所有受影响组件至最新版本的 Log4j2,将在更新完成后第一时间发送公告。对于Dataworks提供的UDF(用户自定义函数)功能,其产品代码运行中安全加固的沙箱环境中,安全风险低。但针对UDF可能存在外部数据依赖的场景,我们仍建议用户将Log4j2更新到最新版本。如有其它问题用户可直接通过工单系统进行提问。

云安全中心 SAS
阿里云SAS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

Web应用防火墙 WAF
阿里云WAF产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

NAT网关
阿里云NAT产品中涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已修复完成。

文件存储 NAS
阿里云NAS控制台已完成Log4j2版本的更新,NAS服务本身不受Apache Log4j2漏洞(CVE-2021-44228)的影响。

域名服务 DOMAIN
阿里云域名产品各项系统模块均已完成针对Apache Log4j2(CVE-2021-44228)漏洞修复。

云解析DNS
阿里云DNS产品涉及Apache Log4j2漏洞(CVE-2021-44228)影响的各功能模块均已完成修复。

Quick BI
阿里云Quick Bi使用的Log4j2版本不受Apache Log4j2漏洞(CVE-2021-44228)影响。



二、面向客户的通知

阿里云安全于12月9日23时,对客户发布安全预警公告《【漏洞通告】Apache Log4j2 远程代码执行漏洞》https://www.alibabacloud.com/zh/notice/log4j2。同时阿里云第一时间关注客户的影响情况,通过短信、邮件、站内信的形式,通知全量客户关注风险,及时升级到最新版本修复漏洞,阿里云将持续关注漏洞进展情况,及时发布更新漏洞相关公告信息。