Apache Software Foundation 發布了一個保安建議,以應對 Apache Log4j 中的一個漏洞。通過認證的遠端攻擊者可以在受影響的系統執行任意程式碼,從而攻擊漏洞。
有報告指 Apache Log4j 中的一個遠端執行程式碼漏洞 (CVE-2021-44832 ) 正處於被攻擊的高風險,用戶應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
成功利用漏洞可以在受影響的系統中導致遠端執行程式碼。
Apache Software Foundation 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
https://logging.apache.org/log4j/2.x/security.html
請注意,Java 6 和 Java 7 是過時的開發分支,沒有公開的安全更新。用戶應安排將其 Java 升級到最新的受支援版本。
除了內部和自主開發的系統/應用程式外,商業產品和開源軟件/程式庫也可能受到該漏洞的影響。建議應向產品供應商查詢正在使用的軟件產品是否受到影響以及相應修補程式或緩解措施的情況。若軟件產品確認受到該漏洞的影響,系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。