艺赛旗产品 Apache Log4j2 代码执行漏洞(CVE-2021-44832)的修复方案

一、背景介绍

Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。

二、受影响版本

Apache Log4j-core 2.x<2.17.0。

如果应用系统仅仅引用log4j-api包,未引用log4j-core包,则不再此次影响范围内。

三、修复说明

1、根据 Log4j2 的官方情况,CVE-2021-44832 漏洞已经在 v2.17.1 中得到了修复。

四、修复方案下载地址

log4j2.17.1 修复包.zip