99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Apache Log4j 2遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-12-16

?

漏洞描述

近日，Apache Log4j 2爆出遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44228），該漏洞允許攻擊者在目標(biāo)服務(wù)器上執(zhí)行任意代碼，可導(dǎo)致服務(wù)器被黑客控制。Apache Log4j 2官方第一時(shí)間發(fā)布了2.15.0-rc2版本修復(fù)該漏洞，經(jīng)驗(yàn)證該版本修復(fù)仍然可以被繞過，從而導(dǎo)致拒絕服務(wù)風(fēng)險(xiǎn)（CVE-2021-45046），此外官方安全更新中還修復(fù)了Log4j 1.x版本的一處在特定條件下可導(dǎo)致遠(yuǎn)程代碼執(zhí)行的反序列化漏洞，目前官方已經(jīng)發(fā)布了最新安全版本緩解以上風(fēng)險(xiǎn)。

由于Apache Log4j 2應(yīng)用較為廣泛，建議使用該組件的用戶盡快采取安全措施。
漏洞編號(hào)

CVE-2021-44228、CVE-2021-45046、CVE-2021-4104

漏洞危害

該漏洞允許攻擊者在目標(biāo)服務(wù)器上執(zhí)行任意代碼，可導(dǎo)致服務(wù)器被黑客控制。

漏洞等級(jí)

高危
受影響版本

CVE-2021-44228影響范圍：

從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.14.1 的所有版本

CVE-2021-45046影響范圍：

Apache Log4j2 2.0-beta9到2.12.1和2.13.0到2.15.0的所有版本均受影響（包括2.15.0-rc1及2.15.0-rc2）

CVE-2021-4104影響范圍：

Log4j 1.x

最新安全版本

log4j 2.16.0、log4j 2.12.2

修復(fù)方案

目前漏洞POC已被公開，官方已發(fā)布安全版本，建議使用該組件的用戶盡快采取安全措施。

1、官方處置：

建議您在升級(jí)前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外。

1）廠商已發(fā)布新版本修復(fù)漏洞，請(qǐng)及時(shí)自查Log4j 2版本是否在影響范圍內(nèi)，及時(shí)將Log4j 2更新到安全版本log4j-2.16.0或log4j-2.12.2

2）升級(jí)已知受影響的應(yīng)用及組件，如：

spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

2、臨時(shí)解決方案：

使用 2.16.0之前版本的用戶若無法升級(jí)，可通過執(zhí)行以下命令刪除jar包中漏洞相關(guān)的class文件，然后重啟服務(wù)即可：

參考鏈接

• https://www.apache.org/dyn/closer.lua/logging/log4j/2.16.0/apache-log4j-2.16.0-bin.zip
• https://www.apache.org/dyn/closer.lua/logging/log4j/2.12.2/apache-log4j-2.12.2-bin.zip
• https://logging.apache.org/log4j/2.x/