Apache Software Foundation 发布了一个保安建议,以应对 Apache Log4j 中的一个漏洞。通过认證的远端攻击者可以在受影响的系统执行任意程式码,从而攻击漏洞。
有报告指 Apache Log4j 中的一个远端执行程式码漏洞 (CVE-2021-44832 ) 正处於被攻击的高风险,用户应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
成功利用漏洞可以在受影响的系统中导致远端执行程式码。
Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
https://logging.apache.org/log4j/2.x/security.html
请注意,Java 6 和 Java 7 是过时的开发分支,没有公开的安全更新。用户应安排将其 Java 升级到最新的受支援版本。
除了内部和自主开发的系统/应用程式外,商业产品和开源软件/程式库也可能受到该漏洞的影响。建议应向产品供应商查询正在使用的软件产品是否受到影响以及相应修补程式或缓解措施的情况。若软件产品确认受到该漏洞的影响,系统管理员应安装修补程式或遵从产品供应商的建议以降低风险。