K8凯发

新闻动态
News
联系我们
电话:010-62908360
传真:17600206377
邮箱:info@mapcore.com.cn
地址:北京市海淀区黑泉路8号宝盛广场D座8001-8002
公司新闻
您现在的位置: 首页 >> 新闻动态 >>  公司新闻
eCognition软件用户通告——eCognition软件中的Apache Log4j通讯
发布时间:2021-12-23 10:24:21| 浏览次数:

Trimble公司安全团队和全球安全行业已对某些版本的 Apache(阿帕奇) Log4j 软件/工具中宣布的 CVE-2021-44228远程代码执行漏洞做出迅速反应。 Trimble公司正在执行其漏洞管理流程以评估风险并确定修复的优先级。 Trimble公司聘请了内部工程资源、第三方网络安全供应商和软件供应商。 他们不断更新数据集并推动修复,因为他们发现了基础设施和产品代码中的潜在风险。

目前,eCognition软件被认为存在以下CVE-2021-44228漏洞:

本地安装的eCognition许可服务器(eCognition License Server文件包含可能容易受到CVE-2021-44228攻击的Java示例,这些示例不用于eCognition License Server的一般操作,该漏洞仅在手动执行示例时存在。

为谨慎起见,我们建议您通过以下任一方式删除这些示例:


方式一

删除eCognition License Server安装路径下的“examples”文件夹“<eCognition License Server Install Dir>\bin\lmadmin\examples”

对于eCognition v10.2,默认安装路径为:C:\ProgramData\Trimble\eCognition License Server 10.2

对于较老版本的eCognition软件(v10.2.0 Build 4610及以前版本):C:\Program Files\Trimble\eCognition License Server X




方式二

卸载已安装的eCognition许可服务器(eCognition License Server),并从eCognition官方下载页面 https://geospatial.trimble.com/ecognition-download安装更新版本 (v10.2.0 Build 4618),或通过百度网盘下载链接下载(链接:https://pan.baidu.com/s/1SQe-MeQCqghVTVFXMV8PFQ 提取码:h88i eCognition License Server v10.2.0 Build 4618,该版本中的Java 示例文件夹已从安装程序中删除。


切记:在卸载eCognition许可服务器(eCognition License Server)之前,一定要先归还所有已激活的许可!!!

 

如果在上述操作有问题,请及时联系K8凯发人员进行相关操作指导。

 

附:Apache Log4j介绍

 


Log4jApache的一个开放源代码项目,通过使用Log4j,用户可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;用户也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,用户能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

1.    漏洞概述

129日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。

1210日,绿盟科技CERT发现Apache Log4j 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j 2.15.0-rc2版本(与2.15.0稳定版相同)进行修复,增加了对urI异常的处理。

1212日,官方又发布了Apache Log4j 2.15.1-rc1版本,在默认配置中禁用了JNDIMessage lookups功能。

1213日,官方再发布了Apache Log4j 2.16.0-rc1(与2.16.0稳定版相同)版本,此版本在2.15.1-rc1的基础上,移除掉了存在漏洞的Message lookups功能。

1214日,官方发布通告,披露Apache Log4j 1.2.x版本在特定配置时存在JMSAppender 反序列化代码执行漏洞(CVE-2021-4104),当攻击者具有修改 Log4j 配置的权限时,JMSAppender 容易受到不可信数据的反序列化,攻击者可以使用特定配置利用 JMSAppender 执行 JNDI 请求,从而造成远程代码执行。

1214日,官方发布了Apache Log4j 2.12.2-rc1(与2.12.2稳定版相同)版本,默认配置禁用了JNDI,并移除掉存在漏洞的Message lookups功能,此版本支持Java 7

1215日,官方发布通告,披露Apache Log4jDoS漏洞(CVE-2021-45046),当log4j配置使用非默认模式布局和上下文查找(例如$${ctx:loginId})或线程上下文映射模式(%X%mdc%MDC)时,使用JNDI查找模式制作恶意输入数据从而导致拒绝服务(DoS) 攻击。Apache Log4j 2.15.0版本中针对CVE-2021-44228的漏洞修复方式不完善,在特定配置时受此漏洞影响。

2.    影响范围

受影响版本:

CVE-2021-44228

l  2.0-beta9 <= Apache Log4j <= 2.12.1

l  2.13.0<= Apache Log4j <= 2.15.0-rc1

CVE-2021-45046

l  2.0-beta9 <= Apache Log4j <= 2.12.1

l  2.13.0<= Apache Log4j <= 2.15.0-rc22.15.0稳定版)

注:只有 log4j-core jar文件受此漏洞影响。

CVE-2021-4104

l  Apache Log4j =1.2.x






K8凯发作为天宝公司Inpho中国区授权代理商、eCognition软件中国区授权代理商和政府解决方案及规则集开发商、美国Maxar卫星数据代理商,能够为广大用户提供从数据获取、处理与解译分析到最终成果的“一站式”应用解决方案。

更多资讯,可关注微信公众号,或登录K8凯发公司官网:http://www.mapcore.com.cn/

联系电话:010-62908360

 





 
 
 上一篇:Trimble Inpho v12.1.0版本更新说明
 下一篇:Inpho软件应用实战技术之十八—Inpho生产热红外数据

公众号

视频号
Copyright@ K8凯发        备案号:京ICP备14042292号-1       ICP9863263414643413    多源世界 智图管理
Sitemap