發布日期: 2021年 12月 10日
最後更新: 2021年 12月 15日
[2021年 12月 15日更新]
根據 Apache Software Foundation 最新的保安建議,Apache Log4j 2.15.0 版本及之前所建議的緩解措施並未能完全應對遠端執行程式碼漏洞 (CVE-2021-44228)。Apache 已發布了另一 Log4j 2.16.0 版本以應對漏洞 (CVE-2021-44228) 及新發現的分布式拒絕服務漏洞 (CVE-2021-45046)。
如未能進行更新,請移除 classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 中的 JndiLookup class 作緩解措施。詳情可參閱以下 URL:
https://logging.apache.org/log4j/2.x/security.html
只有使用 log4j-core 組件的應用程式受影響,使用 log4j-api 組件但沒有使用og4j-core 組件的應用程式並不受影響。
[2021年 12月 13日更新]
除了內部和自主開發的系統/應用程式外,商業產品和開源軟件/程式庫也可能受到該漏洞的影響。下面列出了產品供應商的建議,該列表並不包括所有受影響的軟件/程式。系統管理員應向產品供應商查詢正在使用的軟件產品是否受到影響以及相應修補程式或緩解措施的情況。若軟件產品確認受到該漏洞的影響,系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。
Apache Struts
https://struts.apache.org/announce-2021#a20211212-2
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
Fortinet
https://www.fortiguard.com/psirt/FG-IR-21-245
VMware
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Apache Software Foundation 發布了一個保安建議,以應對 Apache Log4j 中的一個漏洞。遠端攻擊者可以向受影響的系統傳送特製的請求來攻擊這個漏洞。
有報告指漏洞 (CVE-2021-44228) 正受到攻擊以及概念驗證 (PoC) 程式碼已被公開。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
成功利用這個漏洞可以導致在受影響的系統上遠端執行程式碼。
Apache Software Foundation 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
如無法立即安裝修補程式,受影響系統的管理人員應遵從 Apache Software Foundation 的建議,立即採取行動以降低風險: