艺赛旗产品 Apache Log4j2 代码执行漏洞(CVE-2021-44832)的修复方案
一、背景介绍
Apache Log4j2 版本 2.0-beta7 到 2.17.0(不包括安全修复版本 2.3.2 和 2.12.4)容易受到远程代码执行 (RCE) 攻击,其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。
二、受影响版本
Apache Log4j-core 2.x<2.17.0。
如果应用系统仅仅引用log4j-api包,未引用log4j-core包,则不再此次影响范围内。
三、修复说明
1、根据 Log4j2 的官方情况,CVE-2021-44832 漏洞已经在 v2.17.1 中得到了修复。