高危或严重
漏洞影响范围
漏洞影响的产品版本包括:
Apache Log4j2 2.0 - 2.15.0-rc1
修复建议
官方已发布修复版本修复了该漏洞,请受影响的用户尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
注:Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本。
建议同时采用如下临时措施进行漏洞防范:
1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火墙产品进行安全防护。
漏洞检测&防范
1. 在漏洞公开后, 联软科技安全实验室人员第一时间响应,UniCSM网络空间资产测绘系统(SaaS)平台已支持针对该漏洞进行在线检测。
2. 联软已针对该漏洞已进行了相应的防范措施和解决方案,帮助企业抵御漏洞风险的侵入。
【参考链接】
1. 国家信息安全漏洞共享平台 (cnvd.org.cn)https://www.cnvd.org.cn/webinfo/show/7116
扫描二维码可手机访问。
400-6288-116
深圳市南山区高新区软件大厦10层1001-1003