漏洞影响情况:
Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。
漏洞的CVE编号:(CVE-2021-44228) 、(CVE-2021-45105)
漏洞被利用情况:
目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。
解决方案及版本更新计划
升级应急指挥系统中的中台组件版本,版本计划如下:
请各项目联系对应接口人,或者拨打400电话获取升级包以及升级技术支持。
常见问题解答:
问题1:当前产品受影响情况?
答:当前产品并未使用log4j2作为日志记录框架,只是引入spring框架时依赖此开源软件,所以受影响可忽略不计,但是为了保险起见,还是需要进行升级修复。
问题2:如何判断我的产品是否受影响?
答:目前发布的应急指挥系统所有版本都会受影响!
版权©2005-2024 深圳星网信通科技股份有限公司 备案号:粤ICP备09086727号 粤公网安备:44030502001610号
技术支持:创同盟