1. 通告信息

近日，安识科技A-Team团队监测到一则Apache Log4j2远程代码执行漏洞的信息，当前官方已发布受影响的补丁。

对此，安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

3. 漏洞危害

拥有修改日志配置文件权限的攻击者可以使用JDBC Appender构建恶意配置，其数据源引用JNDI URI，可以远程执行代码，但该漏洞利用需要配置文件jdbc连接可控。

4. 影响版本

2.0-beta7 =< Apache Log4j 2.x < 2.17.0（2.3.2 和 2.12.4 版本不受影响）

5. 解决方案

目前此漏洞已经修复，建议受影响用户及时升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本）。下载链接：https://logging.apache.org/log4j/2.x/download.html

6. 时间轴

【-】2021年12月29日 安识科技A-Team团队监测到Apache官方发布安全补丁

【-】2021年12月29日 安识科技A-Team团队根据官方公告分析

【-】2021年12月29日 安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/172152.html