澳门新葡萄新京(8883·Venice)游戏官网-Made in China

服务热线

400-881-0169

服务专区
service area

Log4j2漏洞处理公告

2021-12-21


漏洞影响情况:

Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。此次 Apache Log4j2 漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

漏洞的CVE编号:(CVE-2021-44228) 、(CVE-2021-45105)


漏洞被利用情况:

目前并未了解到有其他公共渠道对本文中提到的漏洞进行发布,以及漏洞被恶意利用的情况。


解决方案及版本更新计划


升级应急指挥系统中的中台组件版本,版本计划如下:






请各项目联系对应接口人,或者拨打400电话获取升级包以及升级技术支持。


常见问题解答:

问题1:当前产品受影响情况?

答:当前产品并未使用log4j2作为日志记录框架,只是引入spring框架时依赖此开源软件,所以受影响可忽略不计,但是为了保险起见,还是需要进行升级修复。


问题2:如何判断我的产品是否受影响?

答:目前发布的应急指挥系统所有版本都会受影响!