打开微信扫一扫
2021 年 12 月 9 日,Apache Log4j2 被曝存在远程代码执行漏洞,黑客利用该漏洞可直接获取系统服务器权限,该漏洞细节已被公开,互联网已有漏洞利用工具,漏洞利用复杂度低,漏洞危害大。请各地各部门立即针对此漏洞进行排查,及时升级为安全版本,避免发生网络安全事件。
一、受漏洞影响版本
Apache Log4j2 是一个基于 Java 的日志记录工具,被大量用于业务系统开发,该组件使用广泛,Apache Log4j2 的2.0-2.14.1 版本均受影响。
二、安全版本
Apache Log4j-2.15.0-rc2(2.15.0-rc1 版,已验证可被绕过,需升级到 rc2 版)。
三、安全建议
排查应用是否引入了 Apache Log4j2 Jar 包,如果存在引入,则受漏洞影响。请尽快升级 Apache Log4j2 到最新的log4j-2.15.0-rc2 版本,补丁下载地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。