尊龙凯时Ag

Trimble公司安全团队和全球安全行业已对某些版本的 Apache（阿帕奇） Log4j 软件/工具中宣布的 CVE-2021-44228远程代码执行漏洞做出迅速反应。 Trimble公司正在执行其漏洞管理流程以评估风险并确定修复的优先级。 Trimble公司聘请了内部工程资源、第三方网络安全供应商和软件供应商。 他们不断更新数据集并推动修复，因为他们发现了基础设施和产品代码中的潜在风险。

目前，eCognition软件被认为存在以下CVE-2021-44228漏洞：

本地安装的eCognition许可服务器（eCognition License Server）文件包含可能容易受到CVE-2021-44228攻击的Java示例，这些示例不用于eCognition License Server的一般操作，该漏洞仅在手动执行示例时存在。

为谨慎起见，我们建议您通过以下任一方式删除这些示例：

方式一

删除eCognition License Server安装路径下的“examples”文件夹“<eCognition License Server Install Dir>\bin\lmadmin\examples”

对于eCognition v10.2，默认安装路径为:C:\ProgramData\Trimble\eCognition License Server 10.2

对于较老版本的eCognition软件（v10.2.0 Build 4610及以前版本）：C:\Program Files\Trimble\eCognition License Server X

方式二

卸载已安装的eCognition许可服务器(eCognition License Server)，并从eCognition官方下载页面 https://geospatial.trimble.com/ecognition-download安装更新版本 (v10.2.0 Build 4618)，或通过百度网盘下载链接下载（链接：https://pan.baidu.com/s/1SQe-MeQCqghVTVFXMV8PFQ 提取码：h88i ）eCognition License Server v10.2.0 Build 4618，该版本中的Java 示例文件夹已从安装程序中删除。

切记：在卸载eCognition许可服务器(eCognition License Server)之前，一定要先归还所有已激活的许可！！！

如果在上述操作有问题，请及时联系尊龙凯时Ag人员进行相关操作指导。

附：Apache Log4j介绍

Log4j是Apache的一个开放源代码项目，通过使用Log4j，用户可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；用户也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，用户能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

1.    漏洞概述

12月9日，绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞（CVE-2021-44228），由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。漏洞PoC已公开，默认配置即可进行利用，该漏洞影响范围极广，建议相关用户尽快采取措施进行排查与防护。

12月10日，绿盟科技CERT发现Apache Log4j 2.15.0-rc1 版本仅修复LDAP和增加了host白名单，非默认配置下可以被绕过利用；官方对此发布了Apache Log4j 2.15.0-rc2版本（与2.15.0稳定版相同）进行修复，增加了对urI异常的处理。

12月12日，官方又发布了Apache Log4j 2.15.1-rc1版本，在默认配置中禁用了JNDI和Message lookups功能。

12月13日，官方再发布了Apache Log4j 2.16.0-rc1（与2.16.0稳定版相同）版本，此版本在2.15.1-rc1的基础上，移除掉了存在漏洞的Message lookups功能。

12月14日，官方发布通告，披露Apache Log4j 1.2.x版本在特定配置时存在JMSAppender 反序列化代码执行漏洞（CVE-2021-4104），当攻击者具有修改 Log4j 配置的权限时，JMSAppender 容易受到不可信数据的反序列化，攻击者可以使用特定配置利用 JMSAppender 执行 JNDI 请求，从而造成远程代码执行。

12月14日，官方发布了Apache Log4j 2.12.2-rc1（与2.12.2稳定版相同）版本，默认配置禁用了JNDI，并移除掉存在漏洞的Message lookups功能，此版本支持Java 7。

12月15日，官方发布通告，披露Apache Log4j的DoS漏洞（CVE-2021-45046），当log4j配置使用非默认模式布局和上下文查找（例如$${ctx:loginId}）或线程上下文映射模式（%X、%mdc或%MDC）时，使用JNDI查找模式制作恶意输入数据从而导致拒绝服务(DoS) 攻击。Apache Log4j 2.15.0版本中针对CVE-2021-44228的漏洞修复方式不完善，在特定配置时受此漏洞影响。

2.    影响范围

受影响版本:

CVE-2021-44228：

l  2.0-beta9 <= Apache Log4j <= 2.12.1

l  2.13.0<= Apache Log4j <= 2.15.0-rc1

CVE-2021-45046：

l  2.0-beta9 <= Apache Log4j <= 2.12.1

l  2.13.0<= Apache Log4j <= 2.15.0-rc2（2.15.0稳定版）

注：只有 log4j-core jar文件受此漏洞影响。

CVE-2021-4104：

l  Apache Log4j =1.2.x

尊龙凯时Ag作为天宝公司Inpho中国区授权代理商、eCognition软件中国区授权代理商和政府解决方案及规则集开发商、美国Maxar卫星数据代理商，能够为广大用户提供从数据获取、处理与解译分析到最终成果的“一站式”应用解决方案。

更多资讯，可关注微信公众号，或登录尊龙凯时Ag公司官网：http://www.mapcore.com.cn/

联系电话：010-62908360