| 网站首页 | | 中心概况 | | 党建工作 | | 规章制度 | | 服务指南 | | 技术指南 | | 下载专区 | | 两学一做 | | 安全常识 |
您现在的位置:关于Apache Log4j2 远程代码执行漏洞紧急预警
发布时间:2021-12-10 09:27:39
12月9日,赛尔网络监测到网上爆出Apache Log4j2 远程代码执行漏洞,该日志框架被大量用于业务系统开发,用来记录日志信息;由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞构造特殊的数据请求包,从而实现远程代码执行。目前漏洞PoC已在网上公开,且发现在野利用,由于该漏洞影响范围极广,建议贵单位及时排查相关漏洞。
漏洞相关信息如下:
影响范围:Apache Log4j 2.x <= 2.14.1
已知受影响的应用及组件:srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
风险排查:相关用户可排查Java应用中是否引入 log4j-api和log4j-core 两个jar,若存在,则很可能存在安全风险。
漏洞防护:目前官方已发布log4j-2.15.0-rc2测试版本与apache-log4j-2.15.0稳定版修复该漏洞,受影响用户可先将Apache Log4j2所有相关应用到以上版本,下载链接:https://gith
注:可能出现不稳定的情况,建议用户在备份数据后再进行升级。
| 版权所有:河北体育学院现代技术教育中心 地址:河北省石家庄市学府路82号 邮编:050041 |